Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview permettant l’utilisation des tâches d'incident pour gérer le flux de travail des incidents. Les analystes SecOps sont censés exécuter une liste d'étapes, ou de tâches, au cours du processus de triage, d'enquête ou de correction d'un incident. La normalisation et la formalisation de cette liste de tâches peuvent contribuer au bon fonctionnement de votre SOC, en garantissant que les mêmes exigences s'appliquent à tous les analystes. Les responsables SOC, les ingénieurs en automatisation et les analystes principaux peuvent utiliser les capacités d'automatisation de Microsoft Sentinel pour générer des listes de tâches qui s'appliqueront à des groupes d'incidents en fonction de leur contenu, ce qui garantit que les analystes de première ligne appliquent les mêmes normes de diligence à tous les niveaux et ne manquent aucune étape critique.
- Preview du format Common Event Format (CEF) via AMA. Le connecteur Common Event Format (CEF) via AMA permet de filtrer et de télécharger rapidement les journaux sur CEF depuis plusieurs périphériques On-Prem vers Microsoft Sentinel via l'agent Azure Monitor (AMA). L'AMA prend en charge les règles de collecte de données (DCR), que vous pouvez utiliser pour filtrer les journaux avant l'ingestion, pour un téléchargement plus rapide, une analyse efficace et des requêtes.
- Il est maintenant possible de surveiller la santé des règles d'automatisation et des playbooks en surveillant leurs journaux d'exécution. Vous pouvez configurer des notifications d'événements de santé pour les parties prenantes concernées, qui peuvent alors prendre des mesures. Par exemple, vous pouvez définir et envoyer des emails ou des messages Microsoft Teams, ou créer de nouveaux tickets dans votre système de billetterie, etc.
- Une nouvelle version du plugin Microsoft Sentinel Logstash exploite la nouvelle API d'ingestion de journaux basée sur les règles de collecte de données (DCR) d'Azure Monitor. Le nouveau plugin :
- Fournit des capacités de transformation des données comme le filtrage, le masquage et l'enrichissement.
- Permet un contrôle total sur le schéma de sortie, y compris la configuration des noms et des types de colonnes.
- Peut transférer les logs de sources de données externes dans des tables personnalisées et des tables standard.
- Améliore les performances, la compression, la télémétrie et la gestion des erreurs.
Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs