Microsoft a introduit un ensemble de nouveautés dans Microsoft Sentinel, sa solution SIEM (Security Event Information Management) Cloud. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.
- Preview vous permettant de définir la valeur d'un détail personnalisé apparaissant dans un incident comme condition d'une règle d'automatisation. Les détails personnalisés sont des points de données dans les enregistrements bruts du journal des événements qui peuvent être mis en évidence et affichés dans les alertes et les incidents générés par celles-ci. Grâce aux détails personnalisés, vous pouvez accéder au contenu pertinent réel de vos alertes sans avoir à chercher dans les résultats des requêtes.
- Preview de l’ajout de conditions OU/OR dans les règles d’automatisation. Ceci permet de créer des règles complexes permettant de répondre à de nouveaux enjeux du SOC.
- Preview de la création et la suppression d’incidents manuellement. Ceci peut être utile lorsque les données ne peuvent pas être généré à partir d’un système ou d’une source de données
- Preview de l’ajout d’entité à la Threat Intelligence comme indicateur de menaces. Microsoft Sentinel vous permet de signaler l'entité comme étant malveillante, directement dans le graphique d'investigation. Vous pourrez ensuite visualiser cet indicateur à la fois dans les journaux et dans la lame de renseignements sur les menaces de Sentinel.
- Vous pouvez désormais utiliser le nouveau connecteur Windows DNS Events via AMA pour diffuser et filtrer les événements provenant des journaux de vos serveurs Windows Domain Name System (DNS) vers la table à schéma normalisé ASimDnsActivityLog. L'agent Azure Monitor Agent (AMA) et son extension DNS sont installés sur votre serveur Windows pour télécharger les données de vos journaux analytiques DNS vers votre espace de travail Microsoft Sentinel avec pour avantages :
- AMA est plus rapide que l'agent Log Analytics existant (MMA/OMS). AMA traite jusqu'à 5000 événements par seconde (EPS) contre 2000 EPS avec l'agent existant.
- AMA permet une configuration centralisée à l'aide de règles de collecte de données (DCR), et prend également en charge plusieurs DCR.
- AMA prend en charge la transformation du flux entrant en d'autres tableaux de données.
- AMA prend en charge le filtrage de base et avancé des données. Les données sont filtrées sur le serveur DNS et avant que les données ne soient téléchargées, ce qui permet d'économiser du temps et des ressources.
- A partir du 30 septembre 2022, Microsoft a procédé à la suppression de champs de la table UEBA UserPeerAnalytics :
- UserName
- UserPrincipalName
- PeerUserName
- PeerUserPrincipalName
Le moteur UEBA n'effectuera plus de recherche automatique des identifiants d'utilisateurs et ne les transformera plus en noms. Les champs ID correspondants continuent à faire partie de la table, et toutes les requêtes intégrées et autres opérations exécuteront les recherches de noms appropriées d'une autre manière (en utilisant la table IdentityInfo), donc vous ne devriez pas être affecté par ce changement dans presque toutes les circonstances.
La seule exception à cette règle est si vous avez construit des requêtes ou des règles personnalisées faisant directement référence à l'un de ces champs de nom. Dans ce cas, vous pouvez incorporer les requêtes de consultation suivantes dans les vôtres, afin d'accéder aux valeurs qui se seraient trouvées dans ces champs de nom.
Plus d’informations sur : What's new in Microsoft Sentinel | Microsoft Docs