Collecter les journaux Microsoft Sentinel

Compatible avec :

Google SecOps SIEM

Ce document explique comment configurer Microsoft Sentinel pour envoyer des incidents et des alertes à Google Security Operations à l'aide d'applications logiques et de webhook.

Microsoft Sentinel est une solution cloud native de gestion des informations et des événements de sécurité (SIEM) et d'orchestration, d'automatisation et de réponse de sécurité (SOAR). Il fournit des renseignements intelligents sur les menaces et des analyses de sécurité pour l'ensemble de l'entreprise.

Avant de commencer

Assurez-vous de remplir les conditions préalables suivantes :

Une instance Google SecOps
Accès privilégié au portail Microsoft Azure avec les autorisations suivantes :
- Créer des applications logiques
- Configurer des règles d'automatisation Microsoft Sentinel
- Gérer les autorisations des groupes de ressources
- Créer et gérer des principaux de service
Accès à la console Google Cloud (pour la création de clés API)

Créer un flux de webhook dans Google SecOps

Créer le flux

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Sur la page suivante, cliquez sur Configurer un seul flux.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Microsoft Sentinel Incidents).
Sélectionnez Webhook comme type de source.
Sélectionnez Microsoft Sentinel comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Délimiteur de fractionnement (facultatif) : laissez ce champ vide (chaque incident ou alerte est un événement unique).
- Espace de noms de l'élément : espace de noms de l'élément.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Générer et enregistrer une clé secrète

Après avoir créé le flux, vous devez générer une clé secrète pour l'authentification :

Sur la page d'informations sur le flux, cliquez sur Générer une clé secrète.
Une boîte de dialogue affiche la clé secrète.
Copiez et enregistrez la clé secrète de manière sécurisée.

Remarque : La clé secrète ne s'affiche qu'une seule fois et ne peut pas être récupérée ultérieurement. Si vous la perdez, vous devrez générer une nouvelle clé secrète.

Obtenir l'URL du point de terminaison du flux

Accédez à l'onglet Détails du flux.
Dans la section Endpoint Information (Informations sur le point de terminaison), copiez l'URL du point de terminaison du flux.

Le format d'URL est le suivant :

https://malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

https://<REGION>-malachiteingestion-pa.googleapis.com/v2/unstructuredlogentries:batchCreate

Enregistrez cette URL pour les étapes suivantes.
Cliquez sur OK.

Créer Google Cloud une clé API

Google SecOps nécessite une clé API pour l'authentification. Créez une clé API restreinte dans la console Google Cloud .

Créer la clé API

Accédez à la page Identifiants de la consoleGoogle Cloud .
Sélectionnez votre projet (celui associé à votre instance Google SecOps).
Cliquez sur Créer des identifiants > Clé API.
Une clé API est créée et affichée dans une boîte de dialogue.
Cliquez sur Modifier la clé API pour la restreindre.

Restreindre la clé API

Sur la page des paramètres de la clé API :
- Nom : saisissez un nom descriptif (par exemple, Google SecOps Webhook API Key).
Sous Restrictions relatives aux API :
- Sélectionnez Restreindre la clé.
- Dans la liste Sélectionner des API, recherchez et sélectionnez API Google SecOps (ou API Chronicle).
Cliquez sur Enregistrer.
Copiez la valeur de la clé API dans le champ Clé API en haut de la page.
Enregistrez la clé API de manière sécurisée.

Remarque : Restreindre la clé API permet de s'assurer qu'elle ne peut être utilisée qu'avec l'API Google SecOps, ce qui réduit les risques de sécurité en cas de clé compromise.

Configurer une application logique pour les incidents Microsoft Sentinel

Cette section configure une application logique pour envoyer les incidents Microsoft Sentinel à Google SecOps.

Créer une application logique

Connectez-vous au portail Azure.
Cliquez sur Créer une ressource.
Recherchez Logic App.
Cliquez sur Créer pour lancer le processus de création.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Abonnement : sélectionnez l'abonnement.
- Groupe de ressources : sélectionnez le groupe de ressources.
- Name (Nom) : saisissez un nom pour l'application logique (par exemple, Sentinel-Incidents-to-SecOps).
- Région : sélectionnez la région.
- Espace de travail Log Analytics : sélectionnez l'espace de travail Log Analytics.
Cliquez sur Examiner et créer.
Cliquez sur Créer.
Une fois l'application logique créée, cliquez sur Accéder à la ressource.

Configurer le concepteur Logic Apps

Cliquez sur Outils de développement> Concepteur d'applications logiques.
Cliquez sur Ajouter un déclencheur.
Recherchez Microsoft Sentinel.
Sélectionnez Incident Microsoft Sentinel comme déclencheur.
Si vous n'avez pas encore créé de connexion à Microsoft Sentinel, vous devez le faire maintenant.
Cliquez sur Créer et suivez les instructions pour vous authentifier :
- Sélectionnez Se connecter avec une identité gérée (recommandé) ou Se connecter pour utiliser vos identifiants.
Cliquez sur Insérer une étape.
Cliquez sur Ajouter une action.
Recherchez et sélectionnez HTTP comme action.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URI : collez l'URL du point de terminaison du flux Google SecOps.
- Méthode : sélectionnez POST.
- En-têtes : ajoutez les en-têtes suivants :
  - Nom de l'en-tête : X-goog-api-key
  - Valeur : collez la clé API créée précédemment.
  - Nom de l'en-tête : X-Webhook-Access-Key
  - Valeur : collez la clé secrète issue de la création du flux.
Cliquez dans le champ Corps.
Cliquez sur l'onglet Expression dans le panneau de contenu dynamique.
Saisissez @{triggerBody()} dans le champ d'expression, puis cliquez sur OK.

Remarque : L'expression @{triggerBody()} envoie le code JSON complet de l'incident à Google SecOps. Ce paramètre est obligatoire. Sans lui, le webhook reçoit des requêtes vides et aucune donnée n'est ingérée.
Cliquez sur Enregistrer pour enregistrer l'application logique.

Accorder des autorisations Microsoft Sentinel pour exécuter Logic App

Deux attributions d'autorisations distinctes sont nécessaires pour que les règles d'automatisation déclenchent correctement l'application logique.

Autorisation 1 : Accorder à l'identité gérée de l'application logique l'accès à l'espace de travail Sentinel

L'identité managée de l'application logique doit être autorisée à lire les incidents de l'espace de travail Microsoft Sentinel.

Activer l'identité gérée pour Logic App

Dans le portail Azure, accédez à votre ressource Logic App (Sentinel-Incidents-to-SecOps).
Dans le panneau de navigation de gauche, sélectionnez Identité sous Paramètres.
Dans l'onglet Attribué par le système, définissez État sur Activé.
Cliquez sur Enregistrer.
Cliquez sur Oui pour confirmer la suppression.
Une fois l'identité gérée activée, notez l'ID d'objet (principal) qui s'affiche.

Attribuer le rôle Répondeur Microsoft Sentinel à l'application logique

Dans le portail Azure, accédez à votre espace de travail Microsoft Sentinel.
Dans le panneau de navigation de gauche, sélectionnez Contrôle des accès (IAM) sous Paramètres.
Cliquez sur + Ajouter > Ajouter une attribution de rôle.
Dans l'onglet Rôle, recherchez et sélectionnez Répondeur Microsoft Sentinel :
- Alternative : Si le playbook ne lit que les incidents, utilisez le rôle Lecteur Microsoft Sentinel.
Cliquez sur Suivant.
Dans l'onglet Membres, configurez les éléments suivants :
1. Attribuer l'accès à : sélectionnez Identité gérée.
2. Cliquez sur + Sélectionner des membres.
3. Dans la liste Identité gérée, sélectionnez Application logique.
4. Sélectionnez votre application logique (Sentinel-Incidents-to-SecOps) dans la liste.
Cliquez sur Sélectionner.
Cliquez sur Examiner et attribuer.
Cliquez de nouveau sur Vérifier et attribuer pour confirmer.

Autorisation 2 : Accorder des autorisations d'automatisation Microsoft Sentinel sur le groupe de ressources

Microsoft Sentinel nécessite le rôle Contributeur à l'automatisation Microsoft Sentinel sur le groupe de ressources contenant l'application logique. Sans cette autorisation, les règles d'automatisation ne peuvent pas déclencher de playbooks.

Accorder des autorisations d'automatisation via l'interface utilisateur Sentinel

Dans le portail Azure, accédez à votre espace de travail Microsoft Sentinel.
Accédez à Paramètres > Automatisation.
Cliquez sur Gérer les autorisations du playbook en haut de la page.
Dans le volet Gérer les autorisations, configurez les éléments suivants :
1. Sélectionnez le groupe de ressources contenant votre application logique (Sentinel-Incidents-to-SecOps).
Cliquez sur Appliquer.

Remarque : Cela accorde au principal de service Microsoft Sentinel (Azure Security Insights) le rôle Contributeur d'automatisation Microsoft Sentinel sur le groupe de ressources sélectionné.

Vérifier les autorisations d'automatisation (facultatif)

Dans le portail Azure, accédez au groupe de ressources contenant votre application logique.
Dans le panneau de navigation de gauche, sélectionnez Contrôle d'accès (IAM).
Cliquez sur Attributions de rôle.
Recherchez Azure Security Insights.
Vérifiez que Azure Security Insights dispose du rôle Contributeur à l'automatisation Microsoft Sentinel.

Remarque : Si l'option Gérer les autorisations des playbooks ne s'affiche pas dans l'interface utilisateur de Sentinel, vous pouvez accorder les autorisations manuellement :
Accédez au groupe de ressources contenant votre application logique.
Sélectionnez Contrôle d'accès (IAM)> Ajouter une attribution de rôle.
Sélectionnez le rôle Contributeur à l'automatisation Microsoft Sentinel.
Dans Membres, sélectionnez Utilisateur, groupe ou compte principal de service.
Cliquez sur + Sélectionner des membres, puis recherchez Azure Security Insights.
Sélectionnez Insights sur la sécurité Azure, puis cliquez sur Sélectionner.
Cliquez deux fois sur Examiner et attribuer pour confirmer.

Configurer une application logique pour les alertes Microsoft Sentinel

Cette section configure une application logique distincte pour envoyer des alertes Microsoft Sentinel à Google SecOps.

Créer une application logique pour les alertes

Accédez à la page d'accueil du portail Azure.
Cliquez sur Créer une ressource.
Recherchez Logic App.
Cliquez sur Créer pour lancer le processus de création.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Abonnement : sélectionnez l'abonnement.
- Groupe de ressources : sélectionnez le groupe de ressources.
- Name (Nom) : saisissez un nom pour l'application logique (par exemple, Sentinel-Alerts-to-SecOps).
- Région : sélectionnez la région.
- Espace de travail Log Analytics : sélectionnez l'espace de travail Log Analytics.
Cliquez sur Examiner et créer.
Cliquez sur Créer.
Une fois l'application logique créée, cliquez sur Accéder à la ressource.

Configurer le concepteur Logic Apps pour les alertes

Cliquez sur Outils de développement> Concepteur d'applications logiques.
Cliquez sur Ajouter un déclencheur.
Recherchez Microsoft Sentinel.
Sélectionnez Alerte Microsoft Sentinel comme déclencheur.
Si vous n'avez pas encore créé de connexion à Microsoft Sentinel, vous devez le faire maintenant.
Cliquez sur Créer et suivez les instructions pour vous authentifier :
- Sélectionnez Se connecter avec une identité gérée (recommandé) ou Se connecter pour utiliser vos identifiants.
Cliquez sur Insérer une étape.
Cliquez sur Ajouter une action.
Recherchez et sélectionnez HTTP comme action.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URI : collez l'URL du point de terminaison du flux Google SecOps.
- Méthode : sélectionnez POST.
- En-têtes : ajoutez les en-têtes suivants :
  - Nom de l'en-tête : X-goog-api-key
  - Valeur : collez la clé API créée précédemment.
  - Nom de l'en-tête : X-Webhook-Access-Key
  - Valeur : collez la clé secrète issue de la création du flux.
Cliquez dans le champ Corps.
Cliquez sur l'onglet Expression dans le panneau de contenu dynamique.
Saisissez @{triggerBody()} dans le champ d'expression, puis cliquez sur OK.

Remarque : L'expression @{triggerBody()} envoie le code JSON complet de l'alerte à Google SecOps. Ce paramètre est obligatoire. Sans lui, le webhook reçoit des requêtes vides et aucune donnée n'est ingérée.
Cliquez sur Enregistrer pour enregistrer l'application logique.

Accorder des autorisations Microsoft Sentinel pour exécuter l'application logique d'alertes

Deux attributions d'autorisations distinctes sont requises pour l'application logique des alertes, identiques à la configuration de l'application logique des incidents.

Autorisation 1 : Accorder à l'identité managée de l'application logique d'alerte l'accès à l'espace de travail Sentinel

L'identité managée de l'application logique d'alertes doit être autorisée à lire les alertes de l'espace de travail Microsoft Sentinel.

Activer l'identité gérée pour l'application logique des alertes

Dans le portail Azure, accédez à la ressource de votre application logique d'alertes (Sentinel-Alerts-to-SecOps).
Dans le panneau de navigation de gauche, sélectionnez Identité sous Paramètres.
Dans l'onglet Attribué par le système, définissez État sur Activé.
Cliquez sur Enregistrer.
Cliquez sur Oui pour confirmer la suppression.
Une fois l'identité gérée activée, notez l'ID d'objet (principal) qui s'affiche.

Attribuer le rôle Répondeur Microsoft Sentinel à l'application logique des alertes

Dans le portail Azure, accédez à votre espace de travail Microsoft Sentinel.
Dans le panneau de navigation de gauche, sélectionnez Contrôle des accès (IAM) sous Paramètres.
Cliquez sur + Ajouter > Ajouter une attribution de rôle.
Dans l'onglet Rôle, recherchez et sélectionnez Répondeur Microsoft Sentinel :
- Alternative : Si le playbook ne lit que les alertes, utilisez le rôle Lecteur Microsoft Sentinel.
Cliquez sur Suivant.
Dans l'onglet Membres, configurez les éléments suivants :
1. Attribuer l'accès à : sélectionnez Identité gérée.
2. Cliquez sur + Sélectionner des membres.
3. Dans la liste Identité gérée, sélectionnez Application logique.
4. Sélectionnez votre application logique d'alertes (Sentinel-Alerts-to-SecOps) dans la liste.
Cliquez sur Sélectionner.
Cliquez sur Examiner et attribuer.
Cliquez de nouveau sur Vérifier et attribuer pour confirmer.

Autorisation 2 : Accorder des autorisations d'automatisation Microsoft Sentinel sur le groupe de ressources pour les alertes

Microsoft Sentinel nécessite le rôle Contributeur à l'automatisation Microsoft Sentinel sur le groupe de ressources contenant l'application logique des alertes.

Accorder des autorisations d'automatisation via l'interface utilisateur Sentinel

Dans le portail Azure, accédez à votre espace de travail Microsoft Sentinel.
Accédez à Paramètres > Automatisation.
Cliquez sur Gérer les autorisations du playbook en haut de la page.
Dans le volet Gérer les autorisations, configurez les éléments suivants :
1. Sélectionnez le groupe de ressources contenant votre application logique d'alertes (Sentinel-Alerts-to-SecOps).
  - Si ce groupe de ressources est le même que celui de l'application logique des incidents, il peut déjà être sélectionné.
Cliquez sur Appliquer.

Remarque : Si le groupe de ressources a déjà été configuré pour l'application logique des incidents, cette étape accorde les mêmes autorisations pour l'application logique des alertes.

Vérifier les autorisations d'automatisation pour l'application logique d'alertes (facultatif)

Dans le portail Azure, accédez au groupe de ressources contenant votre application logique d'alertes.
Dans le panneau de navigation de gauche, sélectionnez Contrôle d'accès (IAM).
Cliquez sur Attributions de rôle.
Recherchez Azure Security Insights.
Vérifiez que Azure Security Insights dispose du rôle Contributeur à l'automatisation Microsoft Sentinel.

Configurer des règles d'automatisation pour Microsoft Sentinel

Les règles d'automatisation déclenchent des applications logiques lorsque des incidents sont créés ou mis à jour dans Microsoft Sentinel.

Créer une règle d'automatisation pour la création d'incidents

Accédez à votre espace de travail Microsoft Sentinel.
Cliquez sur Configuration > Automatisation.
Cliquez sur Créer.
Sélectionnez Règle d'automatisation.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Nom : saisissez un nom pour la règle d'automatisation (par exemple, Send New Incidents to SecOps).
- Déclencheur : sélectionnez Lorsqu'un incident est créé.
- Actions : sélectionnez Exécuter le playbook dans la liste.
- Sélectionnez l'application logique créée pour les incidents (Sentinel-Incidents-to-SecOps).
Cliquez sur Appliquer.

Créer une règle d'automatisation pour les mises à jour des incidents

Accédez à votre espace de travail Microsoft Sentinel.
Cliquez sur Configuration > Automatisation.
Cliquez sur Créer.
Sélectionnez Règle d'automatisation.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Nom : saisissez un nom pour la règle d'automatisation (par exemple, Send Updated Incidents to SecOps).
- Déclencheur : sélectionnez Lorsqu'un incident est mis à jour.
- Condition : cliquez sur Ajouter > Condition (AND) > État > Modifié.
Dans la section Actions, configurez les éléments suivants :
1. Sélectionnez Exécuter le playbook dans la liste.
2. Sélectionnez l'application logique créée pour les incidents (Sentinel-Incidents-to-SecOps).
Cliquez sur Appliquer.

Créer une règle d'automatisation pour les alertes

Accédez à votre espace de travail Microsoft Sentinel.
Cliquez sur Configuration > Automatisation.
Cliquez sur Créer.
Sélectionnez Règle d'automatisation.
Spécifiez les valeurs des paramètres d'entrée suivants :
- Nom : saisissez un nom pour la règle d'automatisation (par exemple, Send Alerts to SecOps).
- Déclencheur : sélectionnez Lors de la création de l'alerte.
- Actions : sélectionnez Exécuter le playbook dans la liste.
- Sélectionnez l'application logique créée pour les alertes (Sentinel-Alerts-to-SecOps).
Cliquez sur Appliquer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.