Share via

Répondre aux acteurs de la menace lors de l’examen ou de la chasse aux menaces dans Microsoft Sentinel

  • Article

Cet article explique comment réagir contre les acteurs des menaces sur place, au cours de l’examen d’un incident ou d’une chasse aux menaces, sans pivoter ni quitter le contexte de l’examen ou de la chasse. Pour cela, utilisez des playbooks basés sur le nouveau déclencheur d’entité.

Le déclencheur d’entité prend actuellement en charge les types d’entités suivants :

Important

Le déclencheur d’entité est actuellement disponible en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Exécuter des playbooks avec le déclencheur d’entité

Quand vous examinez un incident et que vous déterminez qu’une entité donnée (un compte d’utilisateur, un hôte, une adresse IP, un fichier, etc.) représente une menace, vous pouvez lancez des actions correctives immédiates sur cette menace en exécutant un playbook à la demande. Vous pouvez faire de même si vous rencontrez des entités suspectes quand vous recherchez des menaces de manière proactive en dehors du contexte des incidents.

  1. Sélectionnez l’entité dans le contexte dans lequel vous la rencontrez, puis choisissez les moyens appropriés pour exécuter un playbook, comme suit :

    • Dans le widget Entités de l’onglet Vue d’ensemble d’un incident dans la page des détails du nouvel incident (désormais en préversion), ou sous son onglet Entités, choisissez une entité dans la liste, sélectionnez les trois points en regard de l’entité, puis sélectionnez Exécuter le playbook (préversion) dans le menu contextuel.

      Capture d’écran de la page Détails de l’incident.

      Capture d’écran de l’onglet des entités dans la page des détails d’incident.

    • Dans l’onglet Entités d’un incident, choisissez l’entité dans la liste. Sélectionnez le lien Exécuter le playbook (préversion) à la fin de la ligne dans la liste.

      Capture d’écran de la sélection d’une entité dans la page des détails de l’incident pour exécuter un playbook sur celle-ci.

    • Dans le graphique des examens, sélectionnez une entité et sélectionnez le bouton Exécuter le playbook (préversion) dans le panneau latéral de l’entité.

      Capture d’écran de la sélection d’une entité dans le graphique des examens pour exécuter un playbook sur celle-ci.

    • Dans la page Comportement des entités, sélectionnez une entité. Dans la page d’entité qui apparaît, sélectionnez le bouton Exécuter le playbook (préversion) dans le volet gauche.

      Capture d’écran de la sélection d’une entité dans la page du comportement des entités pour exécuter un playbook sur celle-ci.

      Capture d’écran de la page de l’entité sélectionnée pour exécuter un playbook sur une entité.

  2. Chacune de ces actions permet d’ouvrir le panneau Exécuter le playbook sur le <type d’entité>.

    Capture d’écran du panneau Exécuter le playbook.

    Deux onglets sont affichés dans ces panneaux : Playbooks et Exécutions.

  3. Dans l’onglet Playbooks, vous pouvez consulter la liste de tous les playbooks auxquels vous avez accès et qui utilisent le déclencheur Entité Sentinel Microsoft pour ce type d’entité (dans ce cas, il s’agit des comptes d’utilisateur). Sélectionnez le bouton Exécuter pour le playbook que vous souhaitez exécuter immédiatement.

    Si vous ne voyez pas le playbook que vous souhaitez exécuter dans la liste, cela signifie que Microsoft Sentinel ne dispose pas des autorisations nécessaires pour exécuter les playbooks dans ce groupe de ressources.

    Pour accorder ces autorisations, sélectionnez Paramètres > Paramètres > Autorisations des playbooks > Configurer les autorisations. Dans le panneau Gérer les autorisations, cochez les cases correspondant aux groupes de ressources contenant les playbooks à exécuter, puis sélectionnez Appliquer.

    Pour plus d’informations, consultez Autorisations supplémentaires requises pour que Microsoft Sentinel puisse exécuter des playbooks.

  4. Vous pouvez auditer l’activité de vos playbooks de déclencheur d’entité dans l’onglet Exécutions. Une liste affiche toutes les fois où un playbook a été exécuté sur l’entité que vous avez sélectionnée. L’affichage des exécutions qui viennent d’être terminées dans cette liste peut prendre quelques secondes. Sélectionner une exécution spécifique permet d’ouvrir le journal complet des exécutions dans Azure Logic Apps.

Étapes suivantes

Dans cet article, vous avez découvert comment exécuter manuellement des playbooks pour corriger les menaces provenant d’entités lors de l’examen d’un incident ou de la chasse des menaces.