
Microsoft Azure Sentinel a été développée en réponse à la diminution de la capacité des outils SIEM (Security Information and Event Management) habituels à répondre aux demandes des défenseurs, au volume de données entrant lors d'événements malveillants ou à l'agilité des cyberadversaires.
Azure Sentinel s’appuie sur l’apprentissage automatique. Il s’agit d’une machine vouée à la gestion de la sécurité des informations et des événements liés à la sécurité (mot de passe incorrect, tentative infructueuse d’élever des privilèges, exécutable inhabituel bloqué par un antivirus, etc.) qui fait la distinction entre les événements importants qui méritent réellement une enquête et les événements banals qui peuvent probablement être ignorés.
Sentinel peut utiliser plusieurs sources de données. Il existe des sources Microsoft évidentes - Azure Active Directory, les journaux des événements Windows, etc. - ainsi que des intégrations avec des pare-feu tiers, des systèmes de détection d'intrusion, des logiciels anti programmes malveillants pour les points finaux, etc.
Azure Sentinel de Microsoft a été conçu dès le départ comme le premier SIEM cloud natif capable de fournir des analyses de sécurité intelligentes aux entreprises, permettant aux défenseurs de protéger leur entreprise des menaces à la sécurité et de bloquer les activités malveillantes avant qu'elles ne puissent causer de dommages.
Selon Microsoft:

Microsoft Azure Sentinel est également conçue pour permettre aux professionnels de la sécurité d'importer rapidement des données Microsoft Office 365 en quelques clics de souris, en les combinant facilement avec d'autres flux de données de sécurité pour une analyse rapide et complète.
La technologie cloud Azure Sentinel fournit une prise en charge intégrée pour les « normes ouvertes telles que le format CEF (Common Event Format) et les connexions partenaires larges, y compris les partenaires Microsoft Intelligent Security Association tels que Check Point, Cisco, F5, Fortinet, Palo Alto et Symantec, en tant que ainsi que des partenaires écosystémiques plus vastes tels que ServiceNow ».
En outre, Microsoft Azure Sentinel permet de combiner les connaissances des experts de l'IA et de Microsoft avec les connaissances d'experts en sécurité internes, ainsi que des outils d'apprentissage conçus pour mettre en lumière même les « attaques les plus sophistiquées avant qu'elles ne s'enracinent ».
Azure Sentinel est disponible en préversion et se trouve dans le tableau de bord Azure. Au cours de la prévisualisation, son utilisation est gratuite et Microsoft n'a pas encore décidé de la tarification une fois qu'il sera disponible en version stable.
Threat Experts
Microsoft Threat Experts, l’autre technologie cloud annoncée par Microsoft, est un service intégré à Windows Defender ATP et développé pour offrir une « recherche gérée permettant d’accroître les capacités de votre équipe de centre d’opérations de sécurité ».
Voici quelques éléments qu’il comporte :
- Les notifications d’attaques ciblées, qui utilisent une combinaison de systèmes d’apprentissage automatique, et de surveillance humaine (utilisant des données anonymisées) pour alerter les administrateurs en particulier sur les attaques ciblées, une activité malveillante visant une organisation (par exemple un employé qui a accès à des données qu’il ne devrait pas voir).
- Le deuxième élément est un bouton « Demander à un expert en matière de menaces » dans Windows Defender Security Center. Cliquez dessus et vous serez mis en contact avec un vrai humain pour vous aider à comprendre ce qui se passe et comment réagir et, si nécessaire, au service de réponse aux incidents de Microsoft.
Source : Microsoft
Et vous ?

Voir aussi :





Vous avez lu gratuitement 1 795 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.