Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview d’un widget Entity Behavior Analytics sur la page d’accueil du portail Defender. Il offre une visibilité immédiate sur les comportements utilisateurs anormaux, permettant aux analystes d’identifier plus rapidement les activités suspectes et d’accélérer les workflows de détection.
- Microsoft confirme que Microsoft Sentinel ne sera plus supporté dans le portail Azure après le 31 mars 2027. Sentinel est désormais généralement disponible dans le portail Defender, y compris pour les clients ne disposant pas de Defender XDR ou de licences E5. Les organisations utilisant encore Sentinel dans Azure doivent planifier leur migration vers le portail Defender afin de bénéficier de l’expérience SOC unifiée.
- Une nouvelle couche UEBA behaviors fait son apparition dans le portail Defender. Elle agrège et normalise les événements issus de sources supportées pour produire des comportements lisibles, contextualisés et alignés MITRE ATT&CK. Cette couche permet de :
- accélérer les investigations grâce à des comportements séquencés et agrégés ;
- transformer une télémétrie volumineuse en observations exploitables ;
- améliorer les workflows des analystes, hunters et detection engineers ;
- garantir la traçabilité via un lien direct vers les logs sources et les tactiques MITRE.
Les comportements UEBA peuvent être activés indépendamment de la détection d’anomalies. Les sources supportées en Public Preview :AWS CloudTrail, CommonSecurityLog (CyberArk Vault, Palo Alto Threats), GCPAuditLog
- Il est désormais possible d’activer UEBA directement depuis la configuration des connecteurs. Cette intégration réduit les risques de couverture incomplète et simplifie la gestion en permettant d’associer immédiatement une source de données à UEBA lors de son onboarding.
- La solution SAP BTP s’enrichit de nouvelles détections couvrant des activités critiques du plan de contrôle, de l’intégration et de l’identité :
- SAP Integration Suite — Détection des modifications non autorisées d’artefacts, politiques d’accès, sources JDBC et imports de packages.
- SAP Cloud Identity Service — Surveillance des suppressions d’utilisateurs, élévations de privilèges et changements SAML/OIDC.
- SAP Build Work Zone — Détection des suppressions massives de rôles et des accès non autorisés.
- SAP BTP Audit Logging — Identification des interruptions d’ingestion des logs d’audit.
Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs
