- Pourquoi intégrer Semperis à Sentinel et Security Copilot ?
- Fonctionnement de l'intégration : native Microsoft, conçue pour une utilisation en production
- Quels changements l'intégration de Semperis entraîne-t-elle pour le SOC ?
- Quand l'IA devient vraiment utile
- Pourquoi cela revêt-il une importance stratégique ?
Les équipes de sécurité n'ont pas besoin de davantage d'alertes isolées. Elles ont besoin d'un meilleur contexte.
C'est particulièrement vrai dans le domaine de la sécurité des identités, où la différence entre un événement suspect et une menace réelle repose souvent sur la compréhension de l'exposition, des privilèges, des voies d'attaque et des éléments les plus importants sur le plan opérationnel. Si votre SOC est capable de détecter une alerte mais ne parvient pas à comprendre rapidement comment cette identité est liée aux actifs critiques, vous n'avez pas amélioré votre capacité de réaction. Vous venez simplement d'ajouter un écran supplémentaire à surveiller.
C'est pourquoi je suis enthousiasmé par le travail réalisé par Semperis avec Microsoft Sentinel et Security Copilot.
Nous disposons désormais d'une intégration opérationnelle et prête à l'emploi qui intègre Semperis Lightning Intelligence à l'écosystème de sécurité de Microsoft à l'aide de composants natifs de Microsoft, notamment Azure Functions, DCE/DCR, les tables d'espace de travail Log Analytics, KQL, Security Copilot et MCP.
Vu de l'extérieur, cela peut ressembler à une simple histoire d'intégration. En réalité, il s'agit de quelque chose de bien plus important : un moyen de rendre les risques liés à l'identité exploitables au sein des flux de travail que les équipes de sécurité utilisent déjà au quotidien.
Pourquoi intégrer Semperis à Sentinel et Copilot ?
Le véritable problème, ce n'est pas le nombre d'alertes. C'est l'absence de contexte d'identité.
Depuis des années, les responsables de la sécurité sont confrontés à un décalage entre la visibilité des identités et la réponse opérationnelle. On peut savoir qu’un utilisateur présente un risque, ou qu’un environnement comporte une vulnérabilité dangereuse, mais ces informations se trouvent souvent dans une console distincte, un ensemble de données séparé ou une discussion interne à une équipe.
Pendant ce temps, le SOC fonctionne à un rythme effréné. Les analystes doivent enquêter sur les incidents, traquer les menaces et répondre à des questions cruciales sans perdre de temps à passer sans cesse d’un outil à l’autre. C’est là que la sécurité des identités fait trop souvent défaut.
Avec Lightning Intelligence , notre approche Lightning Intelligence toujours consisté à nous concentrer sur ce qui importe le plus du point de vue du défenseur, en particulier les voies d’accès menant aux ressources critiques de niveau 0.
L'intégration de Microsoft étend cette philosophie au flux de travail du SOC en rendant les données Lightning directement accessibles dans Sentinel, où les analystes peuvent les interroger, les corréler et les utiliser dans le cadre d'enquêtes en cours.
C'est important, car la gestion des identités n'est plus un domaine de sécurité marginal. Elle occupe désormais une place centrale dans les vecteurs d'attaque modernes au sein des environnements hybrides.
Fonctionnement de l'intégration : native Microsoft, conçue pour une utilisation en production
Ce qui m'importe avant tout dans toute intégration de sécurité, c'est qu'elle soit pratique.
- Est-ce évolutif ?
- Est-ce que cela s'intègre à l'architecture existante du client ?
- Les équipes peuvent-elles réellement l'utiliser en production ?
Dans ce cas, toutes les réponses sont « oui ».
Cette intégration utilise un connecteur de niveau production basé sur Azure Functions pour extraire des données des API REST Lightning selon une fréquence configurable, puis les transmettre à Sentinel via DCE/DCR. Cela offre aux clients une solution plus robuste que le cadre de connecteurs sans code seul, tout en restant entièrement native Azure.
Il est également important de noter que cette fonctionnalité ne se limite pas à un sous-ensemble restreint de données télémétriques. L'intégration prend en charge tous les types de données Lightning et tous les fournisseurs d'identité pris en charge exposés par l'API, notamment Active Directory, Entra ID et d'autres sources compatibles. En d'autres termes, Sentinel offre une vue d'ensemble plus large et plus complète de l'état de sécurité des identités hybrides et des voies d'attaque, et ne se limite pas à une vision partielle des événements spécifiques à Active Directory.
Chaque type de données Lightning est associé à sa propre table personnalisée dans l'espace de travail Log Analytics, ce qui signifie que les équipes peuvent utiliser ces données comme source d'entrée à part entière pour les requêtes KQL, les tableaux de bord, les scénarios de recherche et les règles d'analyse. Il s'agit là d'un choix de conception important.
Une bonne intégration ne se contente pas de transférer des données. Elle rend ces données exploitables.
Quels changements l'intégration de Semperis entraîne-t-elle pour le SOC ?
C'est dans la gestion des incidents et la recherche active des menaces que réside son intérêt le plus immédiat.
Lorsqu’un analyste reçoit une alerte concernant une identité, il peut accéder directement depuis Sentinel à des informations contextuelles issues de Lightning, telles que les chemins d’attaque, l’exposition de niveau 0 et les indicateurs de posture, sans quitter l’environnement de sécurité Microsoft. Cela réduit les obstacles au moment même où la rapidité et la clarté sont primordiales.
Le modèle de données prend également en charge à la fois le tri en temps réel et l'analyse historique. Les données étant de type « ajout uniquement » et horodatées — et la durée de conservation pouvant être ajustée selon les niveaux d'analyse et de lac de données —, les équipes peuvent les utiliser aussi bien pour des analyses en temps réel que pour des analyses rétrospectives et l'étude des tendances. La déduplication peut alors être gérée au niveau de la requête ou de l'agent.
D'un point de vue opérationnel, la synchronisation horaire par défaut offre un bon compromis entre actualité des données et coût, tout en permettant d'adapter la fréquence des interrogations en fonction des besoins des clients. C'est le genre de compromis que les équipes de sécurité expérimentées savent apprécier.
Vous n'avez pas besoin d'une perfection théorique. Ce dont vous avez besoin, ce sont des données exploitables, suffisamment récentes pour être pertinentes, dans un format adapté à vos processus de travail et à votre budget.
Quand l'IA devient vraiment utile
On entend beaucoup parler de l'IA appliquée à la sécurité sur le marché. Mon point de vue est simple :
L'IA n'est utile que lorsqu'elle aide les analystes à agir plus rapidement tout en faisant preuve d'un meilleur jugement.
C'est pourquoi je trouve que l'aspect « Security Copilot » de cette histoire est particulièrement captivant.
Semperis a développé et présenté des agents Security Copilot personnalisés qui fonctionnent entièrement au sein de la pile de sécurité Microsoft, à l'aide d'outils basés sur le langage KQL et exploitant les tables Lightning dans Sentinel.
- Ces agents peuvent fonctionner aussi bien en mode « tâches » qu’en mode « conversation ». Ils peuvent traiter une identité fournie en entrée et renvoyer un résumé structuré du risque et de la posture de sécurité, comprenant les chemins d’exposition, la proximité de niveau 0 et les indicateurs de risque.
- Ils sont également capables de gérer les fautes de frappe et les correspondances approximatives en recherchant des identités similaires et en réessayant automatiquement — ce qui peut sembler anodin jusqu’à ce que l’on réalise à quel point ce genre de contretemps ralentit souvent les enquêtes dans la réalité.
- Plus important encore, ils permettent de répondre à des questions de haut niveau qui intéressent les responsables de la sécurité, telles que l'identité des attaquants les plus dangereux ou les cibles de niveau 0 les plus exposées, en utilisant des outils KQL supplémentaires en plus des données intégrées.
C'est là que l'IA passe du stade de la nouveauté à celui de la valeur opérationnelle. Elle ne remplace pas l'analyste. Elle renforce la capacité de ce dernier à transformer les données télémétriques d'identité en informations exploitables.
Et comme ces agents peuvent être publiés via le Microsoft Security Store, les clients communs peuvent découvrir, déployer et exploiter le connecteur et les agents directement depuis l'écosystème Microsoft.
Pourquoi cela revêt-il une importance stratégique ?
D'un point de vue plus général, cette intégration reflète l'évolution de l'architecture de sécurité.
- Sentinel devient la plateforme centrale d'analyse et de recherche active. Le stockage à plusieurs niveaux favorise la flexibilité opérationnelle et la maîtrise des coûts.
- Security Copilot ajoute une couche d'orchestration basée sur l'IA destinée aux analystes et aux intervenants.
Pour les organisations qui ont déjà adopté Security Copilot comme norme, ce modèle s'inscrit également dans la lignée de l'approche de Microsoft en matière de sécurité, de ressources de calcul IA fournies par le client et de facturation.
Cette combinaison est puissante, car elle n'oblige pas les développeurs à choisir entre la profondeur de l'identité et la cohérence de la plateforme. Ils peuvent bénéficier des deux.
Les équipes de sécurité savent déjà que l'identité est un enjeu crucial. La prochaine étape consiste à mettre les informations sur l'identité à disposition là où les décisions sont prises. Grâce à la collaboration entre Semperis Lightning Intelligence, Microsoft Sentinel et Security Copilot, cet avenir prend déjà forme.
Découvrez-en davantage sur Lightning Intelligence visionnez des vidéos le montrant en action.
Vous souhaitez savoir précisément comment Lightning Intelligence profiter à votre entreprise ? Demandez une démonstration. Nous sommes là pour vous aider.
