Passer au contenu principal

Présentation

L’intégration Microsoft Sentinel (INT-009) ingère les incidents Sentinel dans CaseBender et peut renvoyer les dispositions de cas vers Sentinel lorsqu’un cas est clôturé.

Ingestion entrante

Les incidents Sentinel sont ingérés — soit extraits automatiquement de façon planifiée (recommandé), soit poussés via webhook / Logic App — puis normalisés et convertis en alertes.

Synchronisation sortante

Lorsqu’un cas lié est clôturé dans CaseBender, le statut et la classification de l’incident Sentinel sont mis à jour avec un commentaire d’audit.
Recommandé : activez l’interrogation automatique. CaseBender peut extraire de nouveaux incidents de façon planifiée directement depuis votre espace de travail Log Analytics — sans Logic App, connecteur de données ni endpoint entrant. Voir Interrogation automatique.
Cette intégration utilise l’API REST Azure Security Insights et s’authentifie avec une application Azure AD (Entra ID) via le flux client-credentials (portée management.azure.com).

Fonctionnalités

Prérequis

1

Enregistrer une application Azure AD

Dans le centre d’administration Microsoft Entra, enregistrez une application et créez un client secret. Notez le Directory (tenant) ID, l’Application (client) ID et la valeur du secret.
2

Attribuer le rôle sur l'espace de travail

Accordez à l’application le rôle Microsoft Sentinel Reader sur l’espace de travail Log Analytics avec Sentinel activé (pour l’entrée). Pour la clôture sortante, accordez Microsoft Sentinel Responder.
3

Recueillir les coordonnées de l'espace de travail

Notez le Subscription ID, le Resource Group et le nom de l’espace de travail Log Analytics.
4

Sortie réseau

L’interrogateur de CaseBender doit atteindre login.microsoftonline.com et management.azure.com.

Configurer l’intégration dans CaseBender

1

Ouvrir le catalogue d'intégrations

Allez dans Settings → Integrations → Create, puis choisissez Microsoft Sentinel dans la catégorie SIEM.
2

Saisir les identifiants Azure et l'espace de travail

3

Activer l'interrogation automatique (recommandé)

4

Configurer la création automatique de cas

Entrant (interrogation automatique)

1

Extraction planifiée

À chaque intervalle, CaseBender énumère les incidents de l’espace de travail dont properties/lastModifiedTimeUtc est supérieur au dernier curseur, par ordre croissant. Au premier passage, les incidents modifiés dans pollingInitialLookbackHours sont importés.
2

Curseur + déduplication

CaseBender avance un curseur par intégration jusqu’au lastModifiedTimeUtc le plus récent. Les incidents sont dédupliqués par nom d’incident, de sorte que les fenêtres qui se chevauchent ne créent jamais de doublons.
3

Normalisation

Chaque incident est normalisé en alerte CaseBender, et l’identifiant de l’incident Sentinel est conservé pour que la clôture sortante puisse le retrouver plus tard.
L’interrogation s’exécute dans le service d’interrogation en arrière-plan de CaseBender. Assurez-vous qu’il peut atteindre login.microsoftonline.com et management.azure.com (directement ou via votre proxy).

Sortant : synchronisation des dispositions vers Sentinel

Lorsqu’un cas lié est clôturé, CaseBender met à jour le status de l’incident Sentinel (à Closed) et la classification, et ajoute un commentaire d’audit. La sortie nécessite le rôle Microsoft Sentinel Responder.

Considérations de sécurité

  • Moindre privilège — accordez Sentinel Reader pour l’entrée uniquement ; ajoutez Sentinel Responder seulement si vous activez la clôture sortante.
  • Gestion des secrets — faites tourner le client secret selon la politique de votre organisation.
  • Réseau — restreignez la sortie à login.microsoftonline.com et management.azure.com.

Dépannage

Vérifiez les ID de tenant/client et le secret, et que l’application a le rôle Sentinel Reader sur l’espace de travail. Confirmez que le subscription ID, le resource group et le nom de l’espace de travail sont corrects.
Confirmez que Enable automatic polling est activé et que les coordonnées de l’espace de travail sont correctes. Vérifiez que l’interrogateur peut atteindre management.azure.com. Au premier passage, seuls les incidents dans pollingInitialLookbackHours sont importés.Assurez-vous que tous les services CaseBender fonctionnent — avec Docker, docker compose ps doit afficher les services worker et misp-processor en Up.
Assurez-vous que l’application a le rôle Sentinel Responder et que le cas est lié à un incident Sentinel. Consultez la chronologie du cas pour le résultat de la synchronisation.

Documentation connexe