Share via

Travailler avec les indicateurs de menaces dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Intégrez le renseignement sur les menaces à Microsoft Sentinel par le biais des activités suivantes :

  • Importez le renseignement sur les menaces dans Microsoft Sentinel en activant des connecteurs de données sur différentes plateformes et différents flux de renseignement sur les menaces.

  • Affichez et gérez le renseignement sur les menaces importé dans des journaux et dans la page Renseignement sur les menaces de Microsoft Sentinel.

  • Détectez les menaces et générez des alertes et des incidents de sécurité à l’aide des modèles de règle d’analytique intégrés basés sur le renseignement sur les menaces importé.

  • Visualisez les informations essentielles concernant le renseignement sur les menaces importé dans Microsoft Sentinel à l’aide du classeur Renseignement sur les menaces.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Afficher vos indicateurs de menaces dans Microsoft Sentinel

Rechercher et afficher vos indicateurs dans la page Renseignement sur les menaces

Vous pouvez également afficher et gérer vos indicateurs dans la page Renseignement sur les menaces, accessible à partir du menu Microsoft Sentinel principal. Utilisez la page Renseignement sur les menaces pour trier et filtrer vos indicateurs de menace importés, et y effectuer des recherches, sans même écrire de requête Log Analytics.

Pour afficher vos indicateurs d’informations sur les menaces dans la page Renseignement sur les menaces :

  1. Pour Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Veille des menaces.
    Pour Microsoft Sentinel, dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Veille des menaces.

  2. Dans la grille, sélectionnez l’indicateur pour lequel vous souhaitez afficher plus de détails. Les détails de l’indicateur s’affichent à droite, présentant des informations telles que les niveaux de confiance, les balises, les types de menaces, etc.

  3. Microsoft Sentinel affiche uniquement la version la plus récente des indicateurs dans cette vue. Pour plus d’informations sur la façon dont les indicateurs sont mis à jour, consultez Comprendre le renseignement sur les menaces.

  4. Les indicateurs relatifs aux adresses IP et aux noms de domaine sont enrichis avec des données de géolocalisation et WhoIs supplémentaires, fournissant davantage de contexte pour les investigations dans lesquelles l’indicateur sélectionné est trouvé.

Par exemple :

Important

La géolocalisation et l’enrichissement WhoIs sont actuellement en VERSION PRÉLIMINAIRE. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Rechercher et afficher vos indicateurs dans les journaux

Cette procédure décrit comment afficher les indicateurs de menace importés dans la zone Journaux de Microsoft Sentinel, ainsi que d’autres données d’événement Microsoft Sentinel, quel que soit le flux source ou le connecteur utilisé.

Les indicateurs de menace importés sont listés dans le tableau Microsoft Sentinel > ThreatIntelligenceIndicator, qui est la base des requêtes de renseignement sur les menaces exécutées ailleurs dans Microsoft Sentinel, par exemple dans les analyses ou les classeurs.

Pour afficher les indicateurs de renseignements sur les menaces dans les journaux :

  1. Pour Microsoft Sentinel dans le Portail Azure, sous Général, sélectionnez Journaux.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Enquête et réponse>Chasse>Chasse avancée.

  2. La table ThreatIntelligenceIndicator se trouve sous le groupe Microsoft Sentinel.

  3. Sélectionnez l’icône Aperçu des données (représentant un œil) en regard du nom de la table, puis sélectionnez le bouton Afficher dans l’éditeur de requête pour exécuter une requête qui affiche les enregistrements de cette table.

    Vos résultats doivent ressembler à l’exemple d’indicateur de menace illustré dans cette capture d’écran :

    Capture d'écran illustrant un exemple de résultats de la table ThreatIntelligenceIndicator avec les détails développés.

Créer et baliser des indicateurs

La page Renseignement sur les menaces vous permet également de créer des indicateurs de menace directement dans l’interface Microsoft Sentinel ainsi que d’effectuer deux des tâches d’administration les plus courantes concernant le renseignement sur les menaces : l’étiquetage des indicateurs et la création d’indicateurs liés aux enquêtes de sécurité.

Créer un indicateur

  1. Pour Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Veille des menaces.
    Pour Microsoft Sentinel, dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Veille des menaces.

  2. Sélectionnez le bouton Ajouter nouveau dans le menu en haut de la page.

    Ajouter un nouvel indicateur de menace

  3. Choisissez le type d’indicateur, puis renseignez le formulaire dans le panneau Nouvel indicateur. Les champs obligatoires sont indiqués d’un astérisque rouge (*).

  4. Sélectionnez Appliquer. L’indicateur est ajouté à la liste d’indicateurs, et envoyé à la table ThreatIntelligenceIndicator dans Journaux.

Baliser et modifier les indicateurs de menace

L’étiquetage des indicateurs de menace est un moyen simple de les regrouper pour faciliter leur recherche. En général, vous pouvez appliquer une étiquette à des indicateurs liés à un incident spécifique ou à ceux représentant les menaces provenant d’un auteur connu particulier ou d’une campagne d’attaque bien connue. Étiquetez les indicateurs de menace individuellement, ou sélectionnez plusieurs indicateurs et les étiqueter tous en même temps. L’exemple ci-dessous montre l’étiquetage de plusieurs indicateurs avec un ID d’incident. Étant donné que l’étiquetage est de forme libre, il est recommandé de créer des conventions de nommage standard pour les étiquettes d’indicateur de menace. Les indicateurs permettent d’appliquer plusieurs balises.

Appliquer des étiquettes à des indicateurs de menace

Microsoft Sentinel vous permet également de modifier des indicateurs, qu’ils aient été créés directement dans Microsoft Sentinel ou qu’ils proviennent de sources partenaires, comme les serveurs TIP et TAXII. Pour les indicateurs créés dans Microsoft Sentinel, tous les champs sont modifiables. Pour les indicateurs provenant de sources partenaires, seuls certains champs sont modifiables, notamment Étiquettes, Date d’expiration, Confiance et Révoqué. Dans les deux cas, gardez à l’esprit que seule la dernière version de l’indicateur s’affiche dans l’affichage de la page Renseignement sur les menaces. Pour plus d’informations sur la façon dont les indicateurs sont mis à jour, consultez Comprendre le renseignement sur les menaces.

Les classeurs fournissent des insights concernant le renseignement sur les menaces

Utilisez un classeur Microsoft Sentinel spécialement conçu pour visualiser les informations essentielles concernant votre renseignement sur les menaces dans Microsoft Sentinel, et personnaliser facilement le classeur en fonction des besoins de votre entreprise.

Voici comment trouver le classeur de renseignement sur les menaces fourni dans Microsoft Sentinel, et comment y apporter des modifications pour le personnaliser.

  1. Depuis le portail Azure, accédez au service Microsoft Sentinel.

  2. Choisissez l’espace de travail dans lequel vous avez importé des indicateurs de menace à l’aide de l’un ou l’autre des connecteurs de données du renseignement sur les menaces.

  3. Sélectionnez Classeurs dans la section Gestion des menaces du menu Microsoft Sentinel.

  4. Recherchez le classeur intitulé Threat Intelligence, puis vérifiez que vous avez des données dans la table ThreatIntelligenceIndicator, comme ci-dessous.

    Vérifier les données

  5. Sélectionnez le bouton Enregistrer, puis choisissez un emplacement Azure pour stocker le classeur. Cette étape est nécessaire si vous envisagez de modifier le classeur de quelque façon que ce soit et d’enregistrer les modifications apportées.

  6. Sélectionnez maintenant le bouton Afficher le workbook enregistré pour ouvrir le classeur afin de le consulter et de le modifier.

  7. Vous devez maintenant voir les graphiques par défaut fournis par le modèle. Pour modifier un graphique, sélectionnez le bouton Modifier en haut de la page afin de passer en mode édition pour le classeur.

  8. Ajoutons un nouveau graphique des indicateurs de menace par type de menace. Faites défiler la page vers le bas, puis sélectionnez Ajouter une requête.

  9. Ajoutez le texte suivant dans la zone de texte Journal des requêtes de l’espace de travail Log Analytics :

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

  10. Dans la liste déroulante Visualisation, sélectionnez Graphique à barres.

  11. Sélectionnez le bouton Modification terminée. Vous avez créé un graphique pour votre classeur.

    Graphique à barres

Les classeurs fournissent des tableaux de bord interactifs puissants qui vous donnent des aperçus de tous les aspects de Microsoft Sentinel. Il y a beaucoup de choses que vous pouvez faire avec des classeurs, et même si les modèles fournis constituent un excellent point de départ, vous voudrez probablement aller plus loin en personnalisant ces modèles, ou en créant des tableaux de bord qui combinent de nombreuses sources de données différentes pour visualiser vos données de manière unique. Étant donné que les classeurs Microsoft Sentinel sont basés sur les classeurs Azure Monitor, une documentation complète et de nombreux autres modèles sont déjà disponibles. Cet article est idéal pour découvrir comment Créer des rapports interactifs avec les classeurs Azure Monitor.

Il existe également une vaste communauté de classeurs Azure Monitor sur GitHub pour télécharger des modèles supplémentaires et partager vos propres modèles.

Contenu connexe

Dans cet article, vous avez appris toutes les façons d’utiliser les indicateurs de renseignement sur les menaces dans Microsoft Sentinel. Pour plus d’informations sur le renseignement sur les menaces dans Microsoft Sentinel, reportez-vous aux articles suivants :