Audit et monitoring de l’intégrité dans Microsoft Sentinel

Microsoft Sentinel est un service essentiel pour l’amélioration et la protection de la sécurité des ressources technologiques et des informations de votre organisation. Vous devez donc être assuré qu’il fonctionnera toujours sans problème et sans interférence. Vous avez besoin d’être sûr que les nombreux éléments variables du service fonctionneront toujours comme prévu et que le service ne fera pas l’objet d’actions non autorisées de la part des utilisateurs internes ou d’autres personnes. Vous pouvez également vouloir configurer des notifications de dérives d’intégrité ou d’actions non autorisées qui seront envoyées aux parties prenantes en mesure de répondre ou d’approuver une réponse. Par exemple, vous pouvez définir les conditions de déclenchement de l’envoi d’e-mails ou de messages Microsoft Teams aux équipes d’opérations, aux responsables ou aux dirigeants, lancer de nouveaux tickets dans votre système de tickets, etc.

Cet article explique comment les fonctionnalités d’audit et de monitoring de l’intégrité de Microsoft Sentinel vous aident à surveiller l’activité de certaines des ressources clés du service et à inspecter les journaux des actions des utilisateurs au sein du service.

Description

Cette section décrit le fonctionnement et les cas d’usage des composants d’audit et de monitoring de l’intégrité.

Stockage des données

Les données d’audit et d’intégrité sont collectées dans deux tables de votre espace de travail Log Analytics :

• Les données d’intégrité sont collectées dans la table SentinelHealth.
• Les données d’audit sont collectées dans la table SentinelAudit.

L’interrogation de ces tables est la méthode habituelle pour utiliser ces données.

Pour obtenir de meilleurs résultats, créez vos requêtes sur les fonctions prédéfinies de ces tables, _SentinelHealth() et _SentinelAudit(), au lieu d’interroger les tables directement. Ces fonctions assurent le maintien de la compatibilité descendante de vos requêtes en cas de modifications apportées au schéma des tables elles-mêmes.

Important

• Les tables de données SentinelHealth et SentinelAudit sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

• Quand vous monitorez l’intégrité des playbooks, vous devez également capturer les événements de diagnostic Azure Logic Apps à partir de vos playbooks, en plus des données SentinelHealth, afin d’obtenir une image complète de l’activité de vos playbooks. Les données de diagnostic Azure Logic Apps sont collectées dans la table AzureDiagnostics de votre espace de travail.

Cas d'utilisation

Santé

Le connecteur de données s’exécute-t-il correctement ?

Le connecteur de données reçoit-il des données ? Par exemple, si vous avez demandé à Microsoft Sentinel d’exécuter une requête toutes les 5 minutes, vous souhaitez vérifier si cette requête est exécutée, comment elle fonctionne et s’il existe des risques ou des vulnérabilités liés à la requête.

Une règle d’automatisation s’est-elle exécutée comme prévu ?

Votre règle d’automatisation s’est-elle exécutée au moment escompté, c’est-à-dire quand ses conditions étaient remplies ? Toutes les actions de la règle d’automatisation ont-elles été exécutées avec succès ?

Une règle d’analytique s’est-elle exécutée comme prévu ?

Votre règle d’analytique s’est-elle exécutée au moment attendu et a-t-elle produit des résultats ? Si vous escomptiez voir des incidents particuliers dans la file d’attente, mais que vous n’en voyez pas, vous voudrez savoir si la règle s’est exécutée mais n’a rien trouvé (ou presque) ou si elle ne s’est pas du tout exécutée.

Audit

Des modifications non autorisées ont-elles été apportées à une règle d’analytique ?

La règle a-t-elle été modifiée ? Vous n’avez pas obtenu les résultats escomptés de votre règle d’analytique, et il n’y a pas eu de problèmes d’intégrité. Vous souhaitez savoir si des modifications non planifiées ont été apportées à la règle et, le cas échéant, quelles modifications ont été apportées, par qui, à partir d’où et quand.

Présentation des données d’audit et d’intégrité dans Microsoft Sentinel

Pour commencer à collecter des données d’audit et d’intégrité, vous devez activer l’audit et le monitoring de l’intégrité dans les paramètres Microsoft Sentinel. Vous pouvez ensuite détailler les données d’audit et d’intégrité que Microsoft Sentinel collecte :

• Exécutez des requêtes sur les tables de données SentinelHealth et SentinelAudit à partir du panneau Journaux dans Microsoft Sentinel.

  • Connecteurs de données
  • Règles d’automatisation et playbooks (requête à jointure avec les diagnostics Azure Logic Apps)
  • Règles analytiques

• Utiliser les classeurs d’audit et de monitoring de l’intégrité fournis dans Microsoft Sentinel.

  • Connecteurs de données
  • Règles d’automatisation et playbooks
  • Règles analytiques

• Utilisez les outils de gestion de l’exécution de Microsoft Sentinel pour analyser et optimiser l’exécution des règles d’analyse planifiées.

• Exporter les données vers différentes destinations, telles que votre espace de travail Log Analytics, l’archivage dans un compte de stockage, etc. Découvrez les destinations prises en charge pour vos journaux.

Étapes suivantes

• Activez l’audit et le monitoring de l’intégrité dans Microsoft Sentinel.
• Surveillez l’intégrité de vos règles d’automatisation et playbooks.
• Surveillez l’intégrité de vos connecteurs de données.
• Surveillez l’intégrité de vos règles d’analytique.
• Découvrez-en plus sur les schémas des tables SentinelHealth et SentinelAudit.

Voir aussi :

• Vous utilisez la solution Microsoft Sentinel pour SAP ? Surveillez également son intégrité.