Le Cloud SIEM obtient un stockage de journaux de lacs de données à long terme, une visualisation du graphique AI, une prise en charge de MCP et un moyen d’interagir avec des agents personnalisés construits dans le copilote de sécurité, mais il n’est pas clair pourtant si l’agence AI aidera ou gênera les CISO.
Microsoft a annoncé une série de nouvelles fonctionnalités d’IA pour Sentinel SIEM et Copilot de sécurité dans le cadre de sa poussée pour les transformer en «plates-formes agentiques» entièrement.
L’annonce a plusieurs parties, à commencer par la plus grande nouvelle: Sentinel, la plate-forme SIEM Cloud de la société a publié il y a près de sept ans dans Public Preview, obtient le premier de ce qui pourrait être une série de mises à niveau de l’IA.
Ce processus a commencé en juillet avec l’aperçu public de Sentinel Data Lake pour l’évaluation des clients, qui a atteint cette semaine la disponibilité générale (GA).
Cependant, cette semaine, cette plate-forme acquiert également de nouvelles capacités importantes sous la forme d’un graphique Sentinel et d’un serveur de protocole de contexte de modèle Sentinel (MCP), tous deux dans les versions publiques d’aperçu qui permettent aux clients d’évaluer de nouvelles fonctionnalités avant le lancement de l’AG.
Comme son nom l’indique, Sentinel Data Lake offre aux clients un endroit pour stocker de grands volumes de données de journal sentinelle structurées et non structurées dont ils pourraient autrement avoir à éliminer pour des raisons de coût ou de praticité.
Sous-jacent le système de stockage de la lac de données Azure Data-Upose, qui fait du lac Sentinel Data Lake une version gérée de celle orientée vers la rétention des données à long terme jusqu’à 12 ans.
Sentinel Graph donne aux défenseurs un système de cartographie et de visualisation de la relation entre les données de journal SIEM pour mieux comprendre où un attaquant pourrait avoir laissé des traces d’entrée.
Au lieu de relier manuellement des dizaines d’alertes distinctes, le graphique les corrèlera automatiquement. L’idée derrière le graphique est de rendre ces connexions plus faciles à voir. Surtout, les graphiques qu’il génère peuvent être ingérés par les agents de l’IA, un pointeur vers l’importance de ceux-ci pour l’avenir de la plate-forme.
Le nouveau serveur Sentinel MCP est un connecteur de protocole ouvert qui lie Sentinel à ses capacités d’IA. Cela permet aux agents de l’IA de s’accrocher à des choses comme Sentinel Graph en utilisant MCP comme protocole de communication. Comme l’a déclaré Microsoft dans son annonce, «MCP standardise comment une IA parle aux systèmes. Au lieu que les développeurs écrivent des connecteurs personnalisés pour chaque application, le serveur MCP présente un menu d’actions disponibles dans l’IA dans une langue qu’il comprend. Toute application AI qui parle MCP peut se connecter.»
Microsoft et ses partenaires offrent déjà une gamme d’agents d’IA pré-construits dans le cadre de la copilote de sécurité. Désormais, les clients pourront construire leurs agents personnalisés sans avoir besoin de coder cela à partir de zéro. Au lieu de cela, via le portail de copilote de sécurité, il sera possible de créer un agent utilisant des invites en langage naturel pour se connecter avec une infrastructure plus large via le serveur MCP. Les clients pourront trouver des agents tiers via une boutique de sécurité Microsoft remaniée.
Agent Sauveurs?
Microsoft commercialise les nouvelles fonctionnalités comme le moment où son SIEM entre dans l’ère AICATIC IA, mais cela résiste-t-il à un examen minutieux?
Bien que Sentinel soit encore dans les premiers jours de son développement en tant que plate-forme agentique, un aperçu de l’endroit où il veut aller avec la technologie commence à émerger.
Même avec l’automatisation, les outils de sécurité peuvent être complexes à gérer, consommant des compétences et du temps précieux. L’IA agentique est la réponse de Microsoft: utiliser des agents pour faire plus de travail acharné et, dans certains cas, prendre des décisions. Ces agents communiqueront avec les plates-formes et les outils établis à l’aide de MCP, permettant aux organisations de les programmer en utilisant des invites de réduction de temps soutenues par des outils de codage d’ambiance.
Selon Clive Watson, directeur des Solutions pour le Royaume-Uni Microsoft MSSP Quorum Cyber, les annonces Sentinel ont marqué la plus grande mise à jour de la plate-forme depuis son lancement.
Les clients de Quorum utilisaient déjà le lac Sentinel Data: «Cela profite à la fois nous-mêmes et nos clients car nous pouvons les encourager à stocker des données qu’ils ont peut-être décidées de ne pas conserver dans le passé en raison des coûts», a déclaré Watson.
«Un autre avantage du lac de données est la séparation du stockage des coûts de requête, idéal pour le type commun de données pour lesquelles le lac de données est conçu.
« Le stockage des données dans la bonne classification ou le bon niveau aide également le graphique Sentinel car plus nous avons de données, les meilleures solutions comme le graphique seront pour montrer les relations », a-t-il déclaré.
Les commentateurs ont longtemps émis l’hypothèse que Microsoft pourrait devenir une entreprise de cybersécurité par la porte arrière. La dernière annonce ne va pas aussi loin – c’est toujours une plate-forme de cloud et d’applications soutenue par un système d’exploitation hérité – mais il montre comment les services de cybersécurité basés sur l’IA pourraient se transformer en une partie importante de son écosystème évolutif.
L’IA agentique émerge comme la prochaine grande chose dans la gestion de la sécurité. Mais malgré ses avantages, il a encore des limites aujourd’hui, y compris une tendance à créer du bruit et des faux positifs.
L’autre risque avec une sécurité dominée par la machine est que l’IA agentique devient elle-même une nouvelle surface d’attaque qui expose par inadvertance des données ou des actifs. Les mauvais acteurs construiront leurs propres agents, exploitant le même accès au protocole MCP ou agent-agent de Google (A2A), et tenteront d’empoisonner ou d’agents socialement des agents avec des invites malveillantes cachées.
Cela s’est déjà produit comme une preuve de concept. En juin, les chercheurs ont découvert un moyen de tromper le copilote Microsoft 365 dans des données sensibles révélatrices dans les premiers agents de ciblage d’attaque « sans clic » (CVE-2025-32711) en utilisant des invites cachées dans les métadonnées d’un e-mail.
