2. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Comment fournir une
réponse efficace à une attaque
au travers d'une automatisation
avec Microsoft Sentinel
3. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Vos intervenants
Hakim TAOUSSI
Technical Architect,
Microsoft MVP, Société
Insight
Clément SERAFIN
M365 Architect – Team
Leader
Société AEROW
Sofiane ZAGHARI
Consultant sécurité
Société Insight
4. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Agenda
• Microsoft Sentinel et Microsoft Defender for Office 365
• Démonstration overview
• Use case : Suspicious URL Click
• Déploiement Azure Sentinel
• Detection and review : Incidents MS Sentinel
• Automatisation : Playbook de résolution
• Démonstration réponse incident
• Conclusion
5. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Microsoft Sentinel et Microsoft
Defender for Office 365
6. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Microsoft Sentinel
• Intelligent, cloud-native SIEM (Security Information
and Event Management) de Microsoft
• S'interface avec les outils Microsoft mais pas que...
7. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Sentinel et la suite Microsoft Security
Defender for
Office 365
Defender for Endpoint
Defender for
Identity
Phishing
mail
Open
attachment
Click a URL
Browse
a website
Exploitation
and Installation
Command
and Control
Azure AD
Identity Protection
Brute force account
or use stolen account
credentials
User account is
compromised
Attacker collects
reconnaissance &
configuration data
Attacker attempts
lateral movement
Privileged account
compromised
Domain
compromised
Defender for
Cloud Apps
Attacker
accesses
sensitive data
Exfiltration
of data
Leading
indicators
History of violations
Distracted and careless
Disgruntled or disenchanted
Subject to stressors Insider has access
to sensitive data
Anomalous
activity detected
Data
leakage
Potential
sabotage
Insider risk
management
Defender for IoT (& OT)
Disrupt OT
Environment
IoT Device
Exploitation
Microsoft Defender for
Cloud
10. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Use Case : Suspicious URL Click
Passage de l’indicateur de compromission (IoC) en blocage et alerte
Scan antivirus
12. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Defender for
Office 365
Defender for Endpoint
Defender for
Identity
Phishing
mail
Open
attachment
Click a URL
Browse
a website
Exploitation
and Installation
Command
and Control
Azure AD
Identity Protection
Brute force account
or use stolen account
credentials
User account is
compromised
Attacker collects
reconnaissance &
configuration data
Attacker attempts
lateral movement
Privileged account
compromised
Domain
compromised
Defender for
Cloud Apps
Attacker
accesses
sensitive data
Exfiltration
of data
Leading
indicators
History of violations
Distracted and careless
Disgruntled or disenchanted
Subject to stressors Insider has access
to sensitive data
Anomalous
activity detected
Data
leakage
Potential
sabotage
Insider risk
management
Defender for IoT (& OT)
Disrupt OT
Environment
IoT Device
Exploitation
Microsoft Defender for
Cloud
Microsoft Sentinel
25. SHEO-TECH DAYS RÉUNION – 17 au 19 DÉCEMBRE 2021 –
Automation & Playbook
Passage de l’IoC en blocage est alerte
Lancement du ScanAntivirus
Mail d’alerte