Calipia : le blog

Microsoft a annoncé la semaine dernière les premières betas de deux nouveaux services de sécurité basés sur Azure : Azure Sentinel et Threat Experts.

Azure Sentinel est un outil de gestion des informations et des événements de sécurité (SIEM) natif qui s’exécute dans Azure. Ann Johnson, vice-présidente de la division Cybersécurité de Microsoft, a présenté Azure Sentinel comme « le premier SIEM dans le cloud intégré à une plate-forme majeure« . L’éditeur précise que Azure Sentinel avait été créé de toutes pièces en tant qu’outil de sécurité moderne pour la collecte, l’analyse et la présentation des données de sécurité des utilisateurs, des priphériques, des applications et de l’infrastructure, sur site et dans le cloud. Microsoft mlet en avant comme élément différentiateur de cette offre la connaissance de l’infrastructure locale et le couplage aux services cognitifs d’Azure (AI).

Microsoft a également mis en avant le potentiel de cet outil pour réduire à la fois la charge administrative des approches SIEM locales et le temps perdu en faux positifs (alertes SIEM sans importance). « Je n’ai pas besoin que des personnes soient chargées de la maintenance de l’infrastructure, des correctifs, des mises à niveau, etc. Je me suis concentré sur la recherche de menaces« , a déclaré Eric Doerr, le directeur général du Microsoft Security Response Center (MSRC) qui a mis en oeuvre en beta ce service pour les besoins propre de Microsoft en interne.

Interessant : Microsoft positionne son service dans le contexte de la pénurie de compétences humaines en matière de sécurité informatique. « Le paysage de la cybersécurité en est à un point où les attaquants ont un avantage en raison du manque de « cyberdéfendeurs » qualifiés. Avec un déficit estimé à plus de 3 millions de professionnels de la sécurité d’ici 2021, les « cyberdéfendeurs » ne sont tout simplement pas assez nombreux pour suivre la croissance de la cybercriminalité « . En effet les ingénieurs sécurités sont souvent plus occupés à répondre aux fausses alarmes plutôt qu’a répondre aux cas beaucoup plus complexe mais bien réels…

Le tarif n’a pas été défini pour Azure Sentinel. Il est actuellement gratuit (en beta) pour les clients Office 365 qui pourront importer des données dans l’outil gratuitement en tant qui resterons disponibles une fois le service ouvert.

L’autre service présenté : Threat Experts, est un «service de recherche de menaces géré» au sein de Windows Defender Advanced Protection contre les menaces (ATP), destiné aux centres d’opérations de sécurité.

Le but est à nouveau d’utiliser l’expertise de Microsoft et la collecte massive de signaux mondiaux pour fournir un contexte aux alertes de sécurité pouvant aider les organisations à trouver, hiérarchiser et résoudre les problèmes de sécurité. Le service consiste en des notifications d’attaque censées être adaptées aux besoins d’une organisation et à la disponibilité d’experts Microsoft pouvant mis à disposition.

Bien que le nouveau service Threat Experts soit également en berta, il faudra disposer de Windows Defender ATP pour pouvoir y accéder. Pour rappel, la plate-forme Windows Defender ATP est une boîte à outils d’outils de prévention, de détection, d’enquête et de réponse destinés aux entreprises. Threat Experts ajoute des éléments tels que la réduction de la surface d’attaque, la détection et la réponse associée, les investigations et les corrections automatisées et des outils de recherche avancés. Windows Defender ATP est uniquement disponible dans les packages de licences les plus coûteux de Microsoft, tels que Windows 10 Enterprise E5 et Microsoft 365 E5.

Et bien entendu, nous reviendrons sur ces sujets dans le prochain Briefing Calipia au mois de juin prochain