Utiliser un playbook Microsoft Sentinel pour arrêter des utilisateurs potentiellement compromis
Cet article décrit un exemple de scénario montrant comment utiliser un playbook et une règle d’automatisation pour automatiser la réponse aux incidents et remédier aux menaces de sécurité. Les règles d’automatisation vous aident à trier les incidents dans Microsoft Sentinel et permettent également d’exécuter des playbooks en réponse à des incidents ou à des alertes. Pour plus d’informations, consultez Automatisation dans Microsoft Sentinel : orchestration, automatisation et réponse dans le domaine de la sécurité (SOAR).
L’exemple de scénario décrit dans cet article explique comment utiliser une règle d’automatisation et un playbook pour arrêter un utilisateur potentiellement compromis lorsqu’un incident est créé.
Remarque
Étant donné que les règles utilisent des Azure Logic Apps, des frais supplémentaires peuvent s’appliquer. Consultez la page sur la tarification d’Azure Logic Apps pour en savoir plus.
Important
Microsoft Sentinel est disponible dans le portail Microsoft Defender, en tant qu’élément de la plateforme d’opérations de sécurité unifiée. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Prérequis
Les rôles suivants sont nécessaires pour utiliser Azure Logic Apps en vue de créer et d’exécuter des playbooks dans Microsoft Sentinel.
| Rôle | Description |
|---|---|
| Propriétaire | Vous permet d’accorder l’accès aux playbooks dans le groupe de ressources. |
| Contributeur d’application logique | Vous permet de gérer des applications logiques et d’exécuter des playbooks. Ne vous permet pas d’accorder l’accès à des playbooks. |
| Opérateur d’application logique | Vous permet de lire, d’activer et de désactiver des applications logiques. Ne vous permet pas de modifier ni de mettre à jour des applications logiques. |
| Contributeur Microsoft Sentinel | Vous permet de joindre un playbook à une règle d’analyse ou d’automatisation. |
| Répondeur Microsoft Sentinel | Vous permet d’accéder à un incident afin d’exécuter un playbook manuellement, mais ne vous permet pas d’exécuter le playbook. |
| Opérateur de playbook Microsoft Sentinel | Vous permet d’exécuter un playbook manuellement. |
| Contributeur Microsoft Sentinel Automation | Permet aux règles d’automatisation d’exécuter des playbooks. Ce rôle n’est pas utilisé à d’autres fins. |
L’onglet Playbooks actifs de la page Automatisation affiche tous les playbooks actifs disponibles pour les abonnements sélectionnés. Par défaut, vous ne pouvez utiliser un playbook que dans l’abonnement auquel il appartient, sauf si vous accordez spécifiquement à Microsoft Sentinel des autorisations sur le groupe de ressources du playbook.
Autorisations supplémentaires requises pour exécuter des playbooks lors d’incidents
Microsoft Sentinel utilise un compte de service pour exécuter des playbooks lors d’incidents, ajouter des mesures de sécurité et activer l’API de règles d’automatisation afin de prendre en charge les cas d’usage CI/CD (intégration continue et livraison continue). Ce compte de service est utilisé pour les playbooks déclenchés par un incident ou lorsque vous exécutez manuellement un playbook sur un incident spécifique.
En plus de vos propres rôles et autorisations, ce compte de service Microsoft Sentinel doit avoir son propre ensemble d’autorisations sur le groupe de ressources où réside le playbook, sous la forme du rôle Contributeur Automatisation Microsoft Sentinel. Une fois titulaire de ce rôle, Microsoft Sentinel peut exécuter n’importe quel playbook dans le groupe de ressources approprié, manuellement ou à partir d’une règle d’automatisation.
Pour accorder à Microsoft Sentinel les autorisations requises, vous devez disposer d’un rôle Propriétaire ou Administrateur de l’accès utilisateur. Pour exécuter les playbooks, vous avez également besoin du rôle Contributeur d’application logique sur le groupe de ressources contenant les playbooks à exécuter.
Arrêter les utilisateurs potentiellement compromis
Les équipes SOC veulent s’assurer que les utilisateurs potentiellement compromis ne peuvent pas se déplacer dans leur réseau et voler des informations. Pour gérer de tels scénarios, nous vous recommandons de créer une réponse automatisée et multiforme aux incidents générés par les règles qui détectent des utilisateurs compromis.
Configurez votre règle d’automatisation et votre playbook pour utiliser le flux suivant :
Un incident est créé pour un utilisateur potentiellement compromis et une règle d’automatisation est déclenchée pour appeler votre playbook.
Le playbook ouvre un ticket dans le système de tickets de votre service informatique, tel que ServiceNow.
Le playbook envoie également un message à votre canal d’opérations de sécurité dans Microsoft Teams ou Slack pour vérifier que vos analystes de sécurité sont au courant de l’incident.
Le playbook envoie également toutes les informations de l’incident par e-mail à votre administrateur réseau et à votre administrateur de sécurité. L’e-mail comprend les boutons d’option utilisateur Bloquer et Ignorer.
Le playbook attend jusqu’à ce qu’une réponse soit reçue de la part des administrateurs, puis continue avec les étapes suivantes.
Si les administrateurs choisissent Bloquer, le playbook envoie une commande à Microsoft Entra ID pour désactiver l’utilisateur et une commande au pare-feu pour bloquer l’adresse IP.
Si les administrateurs choisissent Ignorer, le playbook ferme l’incident dans Microsoft Sentinel et le ticket dans ServiceNow.
La capture d’écran suivante montre les actions et les conditions que vous ajoutez lors de la création de cet exemple de playbook :
