Partage via

Audit et monitoring de l’intégrité dans Microsoft Sentinel

  • Article

Microsoft Sentinel est un service essentiel pour l’amélioration et la protection de la sécurité des ressources technologiques et des informations de votre organisation. Vous devez donc être assuré qu’il fonctionnera toujours sans problème et sans interférence.

Vous devez vérifier que les nombreux éléments variables du service fonctionneront toujours comme prévu et qu’il ne fera pas l’objet d’actions non autorisées de la part des utilisateurs internes ou d’autres personnes. Vous pouvez également configurer des notifications de dérives d’intégrité ou d’actions non autorisées qui seront envoyées aux parties prenantes en mesure de répondre ou d’approuver une réponse. Par exemple, vous pouvez définir les conditions de déclenchement de l’envoi d’e-mails ou de messages Microsoft Teams aux équipes d’opérations, aux responsables ou aux dirigeants, lancer de nouveaux tickets dans votre système de tickets, etc.

Cet article explique comment les fonctionnalités d’audit et de monitoring de l’intégrité de Microsoft Sentinel vous aident à surveiller l’activité de certaines des ressources clés du service et à inspecter les journaux des actions des utilisateurs au sein du service.

Stockage des données d’intégrité et d’audit

Les données d’intégrité et d’audit sont collectées dans deux tables de votre espace de travail Log Analytics : SentinelHealth et SentinelAudit

Les données d’audit sont collectées dans la table SentinelAudit.

Les données d’intégrité sont collectées dans la table SentinelHealth, qui capture les événements qui enregistrent chaque fois qu’une règle d’automatisation est exécutée et les résultats finaux de ces exécutions. La table SentinelHealth comprend les éléments suivants :

  • Si les actions lancées dans la règle réussissent ou échouent, et les playbooks appelés par la règle.
  • Les événements qui enregistrent le déclenchement à la demande (manuel ou basé sur l’API) des playbooks, y compris les identités qui les ont déclenchées et les résultats finaux de ces exécutions

La table SentinelHealth n’inclut pas d’enregistrement de l’exécution du contenu d’un playbook, mais indique uniquement si le playbook a été lancé avec succès. Un journal des actions effectuées dans un playbook, qui sont des flux de travail Logic Apps, est répertorié dans la table AzureDiagnostics. AzureDiagnostics vous fournit une image complète de votre intégrité d’automatisation lorsque utilisé en tandem avec les données SentinelHealth.

La façon la plus courante d’utiliser ces données consiste à interroger ces tables. Pour obtenir de meilleurs résultats, créez vos requêtes sur les fonctions prédéfinies de ces tables, _SentinelHealth() et _SentinelAudit(), au lieu d’interroger les tables directement. Ces fonctions assurent le maintien de la compatibilité descendante de vos requêtes en cas de modifications apportées au schéma des tables elles-mêmes.

Important

Les tables de données SentinelHealth et SentinelAudit sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Questions pour vérifier l’intégrité du service et les données d’audit

Utilisez les questions suivantes pour guider votre surveillance de l’intégrité et des données d’audit de Microsoft Sentinel :

Le connecteur de données s’exécute-t-il correctement ?

Le connecteur de données reçoit-il des données ? Par exemple, si vous avez demandé à Microsoft Sentinel d’exécuter une requête toutes les 5 minutes, vous souhaitez vérifier si cette requête est exécutée, comment elle fonctionne et s’il existe des risques ou des vulnérabilités liés à la requête.

Une règle d’automatisation s’est-elle exécutée comme prévu ?

Votre règle d’automatisation s’est-elle exécutée au moment escompté, c’est-à-dire quand ses conditions étaient remplies ? Toutes les actions de la règle d’automatisation ont-elles été exécutées avec succès ?

Une règle d’analytique s’est-elle exécutée comme prévu ?

Votre règle d’analytique s’est-elle exécutée au moment attendu et a-t-elle produit des résultats ? Si vous escomptiez voir des incidents particuliers dans la file d’attente, mais que vous n’en voyez pas, vous voudrez savoir si la règle s’est exécutée mais n’a rien trouvé (ou presque) ou si elle ne s’est pas du tout exécutée.

Des modifications non autorisées ont-elles été apportées à une règle d’analytique ?

La règle a-t-elle été modifiée ? Vous n’avez pas obtenu les résultats escomptés de votre règle d’analytique, et il n’y a pas eu de problèmes d’intégrité. Vous souhaitez savoir si des modifications non planifiées ont été apportées à la règle et, le cas échéant, quelles modifications ont été apportées, par qui, à partir d’où et quand.

Flux de surveillance de l’intégrité et de l’audit

Pour commencer à collecter des données d’audit et d’intégrité, vous devez activer l’audit et le monitoring de l’intégrité dans les paramètres Microsoft Sentinel. Vous pouvez ensuite détailler les données d’audit et d’intégrité que Microsoft Sentinel collecte :

Étapes suivantes

Voir aussi :