Visualiser les données collectées

Dans cet article, vous allez apprendre à être rapidement capable d’afficher et de superviser ce qui se passe dans votre environnement à l’aide de Microsoft Sentinel. Une fois que vous avez connecté vos sources de données à Microsoft Sentinel, vous obtenez une visualisation et une analyse instantanées de ces données pour savoir ce qui se passe sur toutes vos sources de données connectées. Microsoft Sentinel vous propose des classeurs qui vous donnent accès à toute la puissance des outils déjà disponibles dans Azure, ainsi que des tables et des graphiques intégrés pour vous fournir l’analytique pour vos journaux et requêtes. Vous pouvez utiliser des modèles de classeurs ou en créer de nouveaux facilement, soit à partir de zéro ou soit en les basant sur un classeur existant.

Visualisation

Pour visualiser et bénéficier d’une analyse de ce qui se passe dans votre environnement, examinons tout d’abord le tableau de bord général pour avoir une idée de la sécurité de votre organisation. Pour vous aider à réduire le niveau de bruit et à réduire le nombre d’alertes que vous devez examiner, Microsoft Sentinel utilise une technique de fusion pour mettre en corrélation les alertes et les incidents. Les incidents sont des groupes d’alertes liées qui, prises ensemble, constituent un incident actionnable que vous pouvez examiner et résoudre.

Dans le portail Azure, sélectionnez Microsoft Sentinel, puis sélectionnez l’espace de travail que vous souhaitez surveiller.

Screenshot of the Microsoft Sentinel overview page.

Si vous souhaitez actualiser les données de toutes les sections du tableau de bord, sélectionnez Actualiser en haut du tableau de bord. Pour améliorer les performances, les données de chaque section du tableau de bord sont précalculées et vous pouvez voir l’heure d’actualisation en haut de chaque section.

Afficher les données de l’incident

Vous voyez différents types de données d’incident sous Incidents.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • En haut à gauche, vous voyez le nombre d’incidents nouveaux, actifs et fermés au cours des dernières 24 heures.
  • En haut à droite, vous voyez les incidents organisés par gravité et les incidents fermés par classification fermante.
  • En bas à gauche, un graphique décompose l’état de l’incident par heure de création, par intervalles de quatre heures.
  • En bas à droite, vous pouvez voir le temps moyen de réception d’un incident et le temps moyen de fermeture, avec un lien vers le classeur d’efficacité SOC.

Afficher les données d’automatisation

Vous voyez différents types de données d’automatisation sous Automatisation.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • En haut, vous voyez un résumé de l’activité des règles d’automatisation : incidents fermés par l’automatisation, heure d’enregistrement de l’automatisation et intégrité des playbooks associés.
  • Sous le résumé, un graphique récapitule le nombre d’actions effectuées par l’automatisation, par type d’action.
  • En bas, vous trouverez le nombre des règles d’automatisation actives avec un lien vers le panneau d’automatisation.

Afficher l’état des enregistrements de données, des collecteurs de données et du renseignement sur les menaces

Vous voyez différents types de données sur les enregistrements de données, les collecteurs de données et le renseignement sur les menaces sous Données.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • Sur la gauche, un graphique montre le nombre d’enregistrements collectés par Microsoft Sentinel au cours des dernières 24 heures, par rapport aux 24 heures précédentes, et les anomalies détectées au cours de cette période.
  • En haut à droite, vous voyez un résumé de l’état du connecteur de données, divisé par des connecteurs non sains et actifs. Les connecteurs non sains indiquent le nombre de connecteurs qui présentent des erreurs. Les connecteurs actifs sont des connecteurs avec le flux de données dans Microsoft Sentinel, tel que mesuré par une requête incluse dans le connecteur.
  • En bas à droite, vous pouvez voir les enregistrements de renseignement sur les menaces dans Microsoft Sentinel, par indicateur de compromission.

Afficher les données d’analyse

Les données pour les règles d’analytique s’affichent sous Analytique.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

Vous voyez le nombre de règles d’analytique dans Microsoft Sentinel, par état activé, désactivé ou désactivé automatiquement.

Utilisation des modèles de classeurs

Les classeurs de classeurs fournissent des données intégrées provenant de vos sources de données connectées pour vous permettre d’obtenir une présentation approfondie des événements générés dans ces services. Les modèles de classeurs comprennent Microsoft Entra ID, des événements d’activité Azure et en local, qui peuvent être des données provenant d’événements Windows sur des serveurs, d’alertes internes, de tiers comme des journaux de trafic des pare-feux, d’Office 365 et de protocoles non sécurisés basés sur des événements Windows. Les classeurs sont basés sur les classeurs Azure Monitor pour vous offrir des possibilités de personnalisation et une flexibilité améliorées dans la conception de votre propre classeur. Pour plus d’informations, consultez Classeurs.

  1. Sous Paramètres, sélectionnez Classeurs. Sous Mes classeurs, vous pouvez voir tous vos classeurs enregistrés. Sous Modèles, vous pouvez afficher les modèles de classeurs installés. Si vous souhaitez trouver d’autres modèles de classeurs, accédez au Hub de contenu dans Microsoft Sentinel pour installer des solutions de produits ou du contenu autonome.
  2. Recherchez un classeur spécifique pour afficher l’intégralité de la liste et la description de ce que chacun de ces classeurs propose.
  3. En supposant que vous utilisiez Microsoft Entra ID, pour être opérationnel avec Microsoft Sentinel, nous vous recommandons d’installer la solution Microsoft Entra pour Microsoft Sentinel et d’utiliser les classeurs suivants :
    • Microsoft Entra ID : utilisez l’un ou l’autre des éléments suivants :

      • Connexions Microsoft Entra analyse les connexions pour détecter les anomalies. Ce classeur fournit les connexions ayant échoué à partir d’applications, d’appareils et d’emplacements afin que vous puissiez vérifier, en un clin d’œil, si quelque chose d’inhabituel se produit. Faites attention lorsque plusieurs connexions échouent.
      • Journaux d’audit Microsoft Entra analyse les activités d’administration, comme la modification des utilisateurs (ajout, suppression, etc.), la création de groupe et les modifications.
    • Installez la solution appropriée afin d’ajouter un classeur pour votre pare-feu. Par exemple, installez la solution de pare-feu Palo Alto pour Microsoft Sentinel afin d’ajouter les classeurs Palo Alto. Les classeurs analysent le trafic de votre pare-feu et vous indiquent des corrélations entre les données de votre pare-feu et les événements de menaces. De plus, ils mettent en évidence des événements suspects dans des entités. Les classeurs vous fournissent des informations sur les tendances de votre trafic, et vous permettent d’examiner les détails des résultats et de les filtrer.

      Palo Alto dashboard

Vous pouvez personnaliser les classeurs en modifiant la requête principale query edit button. Vous pouvez cliquer sur le bouton Log Analytics button pour accéder à Log Analytics afin de modifier la requête. Vous pouvez sélectionner les points de suspension (...) et Personnaliser les données de la vignette pour modifier le filtre de temps principal ou supprimer les vignettes spécifiques du classeur.

Pour plus d’informations sur l’utilisation des requêtes, consultez Tutoriel : Données visuelles dans Log Analytics

Ajouter une nouvelle vignette

Si vous souhaitez ajouter une nouvelle vignette, vous pouvez l’ajouter à un classeur existant, qu’il s’agisse d’un classeur que vous créez ou d’un classeur intégré de Microsoft Sentinel.

  1. Dans Log Analytics, créez une vignette selon les instructions se trouvant dans Données visuelles dans Log Analytics.
  2. Une fois la vignette créée, sous Épingler, sélectionnez le classeur dans lequel vous voulez que la vignette apparaisse.

Créer des classeurs

Vous pouvez créer un classeur à partir de zéro ou utiliser un modèle de classeur comme base pour votre nouveau classeur.

  1. Pour créer un classeur de toutes pièces, sélectionnez Classeurs, puis +Nouveau classeur.
  2. Sélectionnez l’abonnement dans lequel le classeur est créé, puis donnez-lui un nom descriptif. Chaque classeur est une ressource Azure comme n’importe quelle autre, et vous pouvez lui affecter des rôles (Azure RBAC) pour en définir et limiter l’accès.
  3. Pour lui permettre de s’afficher dans vos classeurs dans lesquels épingler des visualisations, vous devez le partager. Cliquez sur Partager, puis sur Gérer les utilisateurs.
  4. Utilisez les options Vérifier l’accès et Attributions de rôles comme vous le feriez pour toute autre ressource Azure. Pour plus d’informations, consultez Partager des classeurs Azure en utilisant Azure RBAC.

Nouveaux exemples de classeurs

L’exemple de requête suivant vous permet de comparer les tendances dans le trafic entre les semaines. Vous pouvez facilement changer le fournisseur et la source de données où vous exécutez votre requête. Cet exemple utilise SecurityEvent dans Windows. Vous pouvez faire qu’il s’exécute sur AzureActivity ou CommonSecurityLog sur n’importe quel autre pare-feu.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

Vous souhaitez peut-être créer une requête qui incorpore des données provenant de plusieurs sources. Vous pouvez créer une requête qui examine les journaux d’audit Microsoft Entra pour contrôler les utilisateurs qui viennent d’y être créés, puis vérifie vos journaux Azure pour voir si ces utilisateurs ont commencé à apporter des modifications dans l’attribution des rôles dans les 24 heures qui suivent leur création. Ce type d’activité suspecte s’affiche sur ce tableau de bord :

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

Vous pouvez créer différents classeurs en fonction du rôle de la personne qui examine les données et de ce que cette personne recherche. Par exemple, vous pouvez créer pour votre administrateur réseau un classeur qui inclut les données du pare-feu. Vous pouvez également créer des classeurs en fonction de la fréquence à laquelle vous souhaitez les examiner, par exemple si certains éléments doivent être consultés tous les jours et d’autres toutes les heures. Vous pouvez aussi, par exemple, examiner les connexions Microsoft Entra toutes les heures pour y rechercher d’éventuelles anomalies.

Créer de nouvelles détections

Générez des détections sur les sources de données que vous avez connectées à Microsoft Sentinel afin d’investiguer les menaces qui pèsent sur votre organisation.

Quand vous créez une détection, tirez parti des détections élaborées par des chercheurs en sécurité de Microsoft qui sont adaptées aux sources de données que vous avez connectées.

Pour consulter toutes les détections prêtes à l’emploi installées, accédez à Analytique, puis à Modèles de règle. Cet onglet contient tous les modèles de règles Microsoft Sentinel installés. Si vous souhaitez trouver d’autres modèles de règles, accédez au Hub de contenu dans Microsoft Sentinel pour installer des solutions de produits ou du contenu autonome.

Use built-in detections to find threats with Microsoft Sentinel

Pour plus d’informations sur l’obtention de détections prêtes à l’emploi, consultez Obtenir des analyses intégrées.

Étapes suivantes

Détectez des menaces prêtes à l’emploi et créez des règles de détection des menaces personnalisées pour automatiser vos réponses aux menaces.