Comment intégrer NordPass à Microsoft Sentinel

Introduction

En connectant NordPass à Microsoft Sentinel, les organisations peuvent améliorer la visibilité en matière de sécurité, détecter les risques plus rapidement et rationaliser les flux de travail de réponse aux incidents. Ce guide explique comment intégrer NordPass Enterprise à Microsoft Sentinel afin d’envoyer les données des journaux d’activité à des fins de surveillance centralisée, d’analyse et de réponse automatisée en matière de sécurité.

Avant de commencer

Grâce à l’intégration de NordPass, les clients Business peuvent envoyer de manière transparente les données du journal d’activité à Microsoft Sentinel, ce qui leur permet de :

• Suivre les actions des utilisateurs.
• Détecter les risques de sécurité potentiels.
• Tirer parti des capacités avancées d’analyse et d’automatisation de Sentinel.
• Renforcer la gestion de la sécurité numérique au sein de l’organisation.
• Améliorer la visibilité en matière de sécurité et rationaliser la réponse aux incidents.

Voici ce qu’il faut faire

Préparez Microsoft Sentinel

1. Veillez à ce que le groupe de ressources et l’espace de travail Log Analytics soient créés dans la même zone géographique.
2. Ajoutez « Microsoft Sentinel » à l’espace de travail Log Analytics créé.
3. Vérifiez que les autorisations requises pour la lecture et l’écriture des données sont activées.
4. Générez une URL et un jeton pour l’API Microsoft Sentinel dans le Panneau d’administration NordPass à l’aide de notre guide.
5. Une fois la configuration terminée, les données du Journal d’activité seront récupérées dans Microsoft Sentinel toutes les 60 secondes. Les Journaux d’activité NordPass des 7 derniers jours seront récupérés lors de la première connexion. Après cela, seuls les enregistrements générés au cours de l’intervalle défini pour le script seront récupérés. 

Déployer l’intégration NordPass

1. Ouvrez le Microsoft Marketplace et recherchez « NordPass for Microsoft Sentinel ».
2. Sélectionnez l’intégration et cliquez sur « Créer ».
3. Pendant le déploiement :
   • Sélectionnez le Groupe de ressources créé pour l’intégration de NordPass.
   • Sélectionnez l’espace de travail dédié et cliquez sur le bouton « Vérifier + Créer ».
      
4. Accédez à l’espace de travail « Microsoft Sentinel », recherchez l’option « NordPass for Microsoft Sentinel » dans la section « Content Hub », puis commencez à configurer l’intégration.

Configurer le connecteur de données

1. Dans le Content Hub de Microsoft Sentinel, recherchez « NordPass ».
2. Sélectionnez l’intégration et cliquez sur le bouton « Gérer ».
3. Sélectionnez « NordPass » avec « Connecteur de données » comme type de contenu et cliquez sur le bouton « Ouvrir la page de connexion ».
4. Vérifiez les prérequis et sélectionnez le bouton « Déployer sur Azure ».
5. Fournissez :
   • Groupe de ressources
   • Nom de l’espace de travail
   • URL de l’API NordPass
   • Jeton API NordPass
      
6. Sélectionnez « Vérifier + Créer », puis cliquez sur le bouton « Créer » pour déployer Azure Function.
7. Confirmez la première synchronisation de données réussie dans la section « Connecteurs de données » de Microsoft Sentinel.
   
   Remarque : ce connecteur utilise Azure Functions pour extraire les journaux d’activité de NordPass et les transmettre à Microsoft Sentinel. Cela peut entraîner des coûts supplémentaires pour l’ingestion de données. Pour plus d’informations, consultez la page de tarification d’Azure Functions.

Activer les règles d’analyse

1. Accédez au Content Hub de l’intégration NordPass installée.
2. Sélectionnez une règle d’analyse et cliquez sur le bouton « Créer une règle ».
3. Mettez à jour les paramètres de la règle si nécessaire, puis terminez la configuration en cliquant sur le bouton « Enregistrer ».
4. Vérifiez que la règle est activée dans la section « Analyses » de Microsoft Sentinel.
5. Répétez ces étapes pour chaque règle d’analyse concernée.

Activer le classeur NordPass

1. Dans le Content Hub, sélectionnez l’option « Classeur NordPass ».
2. Cliquez sur le bouton « Configuration ».
3. Sélectionnez le bouton « Enregistrer », choisissez un emplacement et confirmez en cliquant sur le bouton « Oui ».
4. Après l’enregistrement, localisez le classeur dans la section « Classeurs » de l’espace de travail Microsoft Sentinel.
5. Sélectionnez « Afficher le classeur enregistré » pour consulter les données d’activité.

Mettre à jour le jeton si nécessaire

1. Connectez-vous à Microsoft Sentinel et redéployez le connecteur de données NordPass.
2. Vous pouvez également ouvrir le Groupe de ressources utilisé pour le déploiement de l’intégration NordPass et rechercher l’application « NordPass Function ».
3. Dans les paramètres, dans la section des variables d’environnement, recherchez « NordPass ».
4. Pour chacune des variables que vous souhaitez mettre à jour, sélectionnez le champ de nom « (NORDPASS_ENDPOINT_URL, NORDPASS_TOKEN) » pour l’ouvrir en mode de modification.
5. Mettez à jour les détails des valeurs et sélectionnez le bouton « Appliquer ».
6. Ensuite, confirmez les paramètres des variables d’environnement dans la section « Paramètres de l’application » en sélectionnant le bouton « Appliquer ».
7. Ensuite, confirmez les modifications en appuyant sur le bouton « Confirmer ».

Conseils supplémentaires

• Le tableau de bord des actions administratives affiche des informations sur les actions des Propriétaires et des Admins de l’organisation dans le Panneau d’administration Business. Ici, vous pourrez également consulter les tableaux de bord suivants :
  1. Actions : cette visualisation présente les actions effectuées dans le Panneau d’administration NordPass Business par les utilisateurs disposant de droits d’Admin MSP, de Propriétaire et d’Admin.
  2. Nombre d’actions par utilisateur : cette visualisation répertorie tous les utilisateurs qui ont effectué des actions dans le Panneau d’administration NordPass Business et indique le nombre d’actions réalisées.
      
• Le tableau de bord d’activité du coffre-fort NordPass fournit des informations sur les actions de l’Utilisateur de l’organisation dans l’application NordPass.
  1. Actions sur les éléments : cette visualisation répertorie toutes les actions et le nombre d’actions effectuées par les employés dans l’application NordPass.
  2. Actions sur les éléments par plateforme : cette visualisation présente le nombre d’actions effectuées dans l’application NordPass sur une plateforme définie.
      
• Le tableau de bord des actions de connexion fournit des informations sur les connexions des employés de l’organisation à NordPass et sur les actions de déverrouillage du coffre-fort effectuées par les utilisateurs. Ici, vous pourrez consulter les tableaux de bord suivants :
  1. Connexion : cette visualisation indique les moments où vos utilisateurs NordPass se connectent au compte NordPass Business, valident le mot de passe maître pour déverrouiller NordPass ou utilisent l’authentification SSO.
  2. Par plateforme : cette visualisation répertorie les plateformes sur lesquelles les employés de l’organisation valident leur mot de passe maître et sur lesquelles ils accèdent à l’application NordPass.