Intégration des logs Sysmon dans Microsoft Sentinel grâce au nouvel agent AMA
L’enjeu lors de la mise en place d’un SOC est de disposer d’un maximum de sources pour pouvoir collecter les évènements, mais surtout permettre leurs corrélations.
En effet, une connexion valide au SI n’est seul pas en soit un évènement marquant, mais si ce même identifiant est utilisé dans la foulée depuis une IP provenant d’un autre pays, alors le cas est différent et nécessite investigation pour s’assurer que l’identifiant en question n’a pas été compromis.