Intégration de SOC Prime avec Microsoft Azure Sentinel, Nouvelles Fonctionnalités

Toute l’équipe de SOC Prime travaille actuellement à distance (j’espère que vous faites de même), mais ces conditions n’ont pas influé sur notre efficacité et notre volonté d’amélioration plateforme Threat Detection Marketplace (TDM).

Dans ce blog, nous sommes ravis d’annoncer les 4 nouvelles fonctionnalités TDM de SOC Prime rendues possibles grâce à notre intégration tierce avec Microsoft Azure Sentinel, visant à aider les entreprises à maintenir leur vigilance en sécurité et à réduire le temps de mise en œuvre.

Commençons par la première fonctionnalité qui représente l’intégration de Sigma avec Azure Sentinel.

Intégration de Sigma avec Azure Sentinel

Uncoder.io, un service gratuit de SOC Prime et un langage commun pour la cybersécurité, nous aidera à gérer cela de la manière la plus évidente en utilisant le langage Sigma. Avec une interface utilisateur facile, rapide et privée, vous pouvez traduire les requêtes d’un outil à un autre sans avoir besoin d’accéder à l’environnement SIEM et en seulement quelques secondes.

C’est ce que nous pouvons facilement faire maintenant pour convertir les règles Sigma en requêtes et règles fonctionnelles Azure Sentinel.Facile ? Nous sommes certains que c’est une belle fonctionnalité qui vous fera gagner du temps. Essayez-le via Uncoder.io par SOC Prime et faites-nous savoir ce que vous en pensez 🙂

La deuxième chose sur laquelle nous nous sommes concentrés est la méthode automatisée de rationalisation des règles via l’API Azure Sentinel.

Le crochet multi-locataires entre TDM et l’API Azure Sentinel est désormais disponible sur le TDM.

Vous pouvez maintenant ajouter dans la configuration « Microsoft Azure Sentinel API » (disponible dans le menu profil de votre TDM).Lors du déploiement des règles, choisissez exactement où vous souhaitez les déployer. Il y a un ensemble de paramètres qui doivent être configurés pour la configuration de l’API Microsoft Azure Sentinel :

1. ID Client,
2. Secret Client,
3. ID du locataire,
4. ID d’abonnement,
5. Groupe de ressources,
6. Espace de travail Sentinel

Exemple:

Des instructions détaillées sur la configuration de l’application API Azure Sentinel se trouvent dans la section « Comment obtenir des identifiants », appuyez sur le bouton (i).

Pour ajouter un autre locataire Azure Sentinel, appuyez sur le bouton ‘Configuration de l’API’. Vous pouvez ajouter une nouvelle configuration, modifier ou supprimer une configuration existante. Par exemple, un environnement test et production.

Intégration TDM SOC Prime avec les requêtes de recherche Azure Sentinel Hunting

Vous pouvez désormais utiliser simplement le bouton « Déployer dans mon Sentinel » dans votre compte TDM pour déployer des requêtes dans Azure Sentinel.

Ce bouton importe la requête dans la page de recherche sauvegardée de Hunting dans le Sentinel. Avant le déploiement, vous pouvez éditer manuellement la requête.Les nouvelles requêtes Hunting peuvent être trouvées sous le filtre FOURNISSEUR : Requêtes personnalisées.

Intégration TDM SOC Prime avec Azure Sentinel Analytics (Règles)

Il y a également un bouton « Déployer dans mon Sentinel » dans votre compte TDM pour déployer des règles dans Azure Sentinel Analytics. Ce bouton importe la règle dans la page Analytics du Sentinel. Avant le déploiement, vous pouvez éditer manuellement les paramètres de la règle.La nouvelle règle déployée peut être trouvée parmi les règles existantes dans Sentinel Analytics en triant le champ DERNIÈRE MODIFICATION.En cas de divergences pour la correspondance des champs, vous pouvez créer votre propre Correspondance de champ Sigma. Allez dans Profil -> ‘Correspondance de champ Sigma’ -> faites défiler jusqu’à Règle ou Requête Azure Sentinel et ajoutez-y vos correspondances de champs personnalisées :Merci d’avoir lu 🙂Restez en sécurité !

Votre équipe SOC Prime