Indicateurs de menace pour le renseignement sur la cybermenace dans Microsoft Azure Sentinel

Azure Active Directory
Logic Apps
Monitor
Microsoft Sentinel

Cet article décrit comment une solution Security Information and Event Management (SIEM) basée sur le cloud comme Microsoft Azure Sentinel peut utiliser des indicateurs de menaces pour détecter, fournir un contexte et informer les réponses aux menaces informatiques existantes ou potentielles.

Architecture

Diagramme illustrant le flux de données Microsoft Sentinel.

Téléchargez un fichier Visio de cette architecture.

Workflow

Vous pouvez utiliser Microsoft Sentinel pour :

  • Importer des indicateurs de menaces à partir de serveurs STIX (Structured Threat Information Expression) et TAXII (Trusted Automated Exchange of Intelligence Information) ou à partir de n’importe quelle solution de plateforme de renseignement sur les menaces (TIP, Threat Intelligence Platform)
  • Afficher et interroger les données d’indicateurs de menaces
  • Créer des règles analytiques pour générer des alertes de sécurité, des incidents et des réponses automatisées à partir de données de renseignement sur les menaces informatiques
  • Visualiser les informations clés de renseignement sur les menaces informatiques dans des classeurs

Connecteurs de données d’indicateurs de menaces

Microsoft Azure Sentinel importe les indicateurs de menace, comme toutes les autres données d’événements, à l’aide de connecteurs de données. Les deux connecteurs de données Microsoft Azure Sentinel pour les indicateurs de menaces sont Threat Intelligence – TAXII et Threat Intelligence Platforms (TIP). Vous pouvez utiliser l’un ou l’autre connecteur de données (ou les deux), en fonction de l’endroit où votre organisation obtient ses données d’indicateurs de menaces. Activez les connecteurs de données dans chaque espace de travail où vous souhaitez recevoir les données.

Connecteur de données Threat Intelligence – TAXII

La norme industrielle la plus répandue pour la transmission des renseignements sur les menaces informatiques est le format de données STIX et le protocole TAXII. Les organisations qui obtiennent des indicateurs de menaces à partir de solutions STIX/TAXII version 2.x actuelles peuvent utiliser le connecteur de données Threat Intelligence – TAXII pour importer leurs indicateurs de menaces dans Microsoft Azure Sentinel. Le client TAXII Microsoft Azure Sentinel intégré importe les renseignements sur les menaces à partir des serveurs TAXII 2.x.

Pour obtenir des instructions détaillées sur l’importation des données d’indicateurs de menace STIX/TAXII dans Microsoft Azure Sentinel, consultez Importer des indicateurs de menaces avec le connecteur de données TAXII.

Connecteur de données Threat Intelligence Platforms

De nombreuses organisations utilisent des solutions TIP comme MISP, Anomali ThreatStream, ThreatConnect ou Palo Alto Networks MineMeld pour agréger des flux d’indicateurs de menaces issus de diverses sources. Les organisations utilisent la plateforme TIP pour organiser les données, puis choisissent les indicateurs de menaces à appliquer à différentes solutions de sécurité telles que les périphériques réseau, les solutions de protection avancée contre les menaces ou des solutions SIEM comme Microsoft Azure Sentinel. Le connecteur de données Threat Intelligence Platforms permet aux organisations d’utiliser leur solution TIP intégrée avec Microsoft Azure Sentinel.

Le connecteur de données Threat Intelligence Platforms utilise l’API Microsoft Graph Security tiIndicators. Toute organisation disposant d’une plateforme TIP personnalisée peut utiliser ce connecteur de données pour tirer parti de l’API tiIndicators et envoyer des indicateurs à Microsoft Azure Sentinel, ainsi qu’à d’autres solutions de sécurité Microsoft comme Defender ATP.

Pour obtenir des instructions détaillées sur l’importation des données TIP dans Microsoft Azure Sentinel, consultez Importer des indicateurs de menaces avec le connecteur de données TIP.

Journaux des indicateurs de menaces

Une fois que vous avez importé les indicateurs de menaces dans Microsoft Azure Sentinel à l’aide des connecteurs de données Threat Intelligence – TAXII ou Threat Intelligence Platforms, vous pouvez afficher les données importées dans la table ThreatIntelligenceIndicator dans des journaux, où toutes les données d’événements Microsoft Azure Sentinel sont stockées. Les fonctionnalités Azure Sentinel telles que l’Analytique et les Classeurs utilisent également cette table.

Pour afficher les indicateurs de menaces

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Azure Sentinel.

    Sélectionnez Microsoft Azure Sentinel

  2. Sélectionnez l’espace de travail dans lequel vous avez importé les indicateurs de menaces.

  3. Dans le volet de navigation gauche, sélectionnez Journaux.

  4. Sous l’onglet Tables, recherchez et sélectionnez la table ThreatIntelligenceIndicator.

  5. Sélectionnez l’icône aperçu des donnéesaperçu des données en regard du nom de la table pour afficher les données de celle-ci.

  6. Sélectionnez Afficher dans l’éditeur de requête, puis sélectionnez la flèche déroulante à gauche des résultats pour afficher des informations comme dans l’exemple suivant :

    Exemple de résultat d’indicateur de menace

Microsoft Azure Sentinel Analytics

L’utilisation la plus importante des indicateurs de menaces dans les solutions SIEM concerne l’analytique qui établit une correspondance entre des événements et des indicateurs de menaces de façon à générer des alertes de sécurité, des incidents et des réponses automatisées. Microsoft Azure Sentinel Analytics crée des règles analytiques qui se déclenchent selon une planification pour générer des alertes. Vous exprimez les paramètres de règle sous forme de requêtes, et configurez la fréquence d’exécution de la règle, les résultats de la requête qui génèrent des alertes et des incidents de sécurité, ainsi que toutes les réponses automatisées aux alertes.

Vous pouvez créer de nouvelles règles analytiques à partir de zéro, ou à partir d’un ensemble de modèles de règles Microsoft Azure Sentinel intégrés que vous pouvez utiliser tels quels ou modifier en fonction de vos besoins. Les modèles de règle analytique qui correspondent à des indicateurs de menaces avec des données d’événement sont tous affectés d’un titre commençant par TI map, et tous fonctionnent de la même manière. Les différences concernent le type d’indicateur de menace à utilise (domaine, e-mail, hachage de fichier, adresse IP ou URL) et les types d’événements à faire correspondre. Chaque modèle répertorie les sources de données nécessaires pour que la règle fonctionne, de sorte que vous pouvez voir d’un coup d’œil si les événements nécessaires sont déjà importés dans Microsoft Sentinel.

Pour obtenir des instructions détaillées sur la création d’une règle analytique à partir d’un modèle, consultez Créer une règle analytique à partir d’un modèle.

Dans Microsoft Azure Sentinel, les règles analytiques activées figurent sous l’onglet Règles actives de la section Analytique. Vous pouvez modifier, activer, désactiver, dupliquer ou supprimer des règles actives.

Les alertes de sécurité générées se trouvent dans la table SecurityAlert de la section journaux de Microsoft Azure Sentinel. Les alertes de sécurité génèrent également des incidents de sécurité, qui figurent dans la section Incidents. Les équipes chargées des opérations de sécurité peuvent trier et examiner les incidents afin de déterminer les réponses appropriées. Pour plus d’informations, consultez le didacticiel :Examiner les incidents avec Microsoft Sentinel.

Vous pouvez également faire en sorte que l’automatisation soit déclenchée lorsque les règles génèrent des alertes de sécurité. L’automatisation dans Microsoft Sentinel utilise des playbooks fournis par Azure Logic Apps. Pour plus d’informations, consultez Didacticiel : Configurer des réponses automatisées aux menaces dans Microsoft Sentinel.

Classeur de renseignement sur les menaces Microsoft Azure Sentinel

Les classeurs fournissent des tableaux de bord interactifs puissants qui vous donnent des aperçus de tous les aspects de Microsoft Sentinel. Vous pouvez utiliser un classeur Microsoft Azure Sentinel pour visualiser les informations relatives aux principaux renseignements sur les menaces informatiques. Les modèles fournis constituent un point de départ, et vous pouvez facilement les personnaliser en fonction des besoins de votre entreprise, créer des tableaux de bord qui combinent de nombreuses sources de données, et visualiser vos données de manière unique. Les classeurs Microsoft Azure Sentinel étant basés sur des classeurs Azure Monitor, une documentation complète et de nombreux modèles sont déjà disponibles.

Pour obtenir des instructions détaillées sur l’affichage et la modification du classeur de renseignement sur les menaces Microsoft Azure Sentinel, consultez Afficher et modifier le classeur de renseignement sur les menaces.

Autres solutions

  • Les indicateurs de menaces fournissent un contexte utile dans d’autres expériences Microsoft Azure Sentinel, telles que la chasse et les notebooks. Pour plus d’informations sur l’utilisation du renseignement sur les menaces informatiques dans des notebooks, consultez Notebooks Jupyter dans Sentinel.

  • Toute organisation disposant d’une plateforme TIP personnalisée peut utiliser l’API Microsoft Graph Security tiIndicators pour envoyer des indicateurs de menaces à d’autres solutions de sécurité Microsoft comme Defender ATP.

  • Microsoft Azure Sentinel fournit de nombreux autres connecteurs de données intégrés à des solutions Microsoft telles que la Protection Microsoft contre les menaces, les sources Microsoft 365 et Microsoft Defender pour applications cloud. Il existe également des connecteurs intégrés aux écosystèmes de sécurité élargis pour les solutions non-Microsoft. Vous pouvez également utiliser le format d’événement commun, Syslog ou l’API REST pour connecter vos sources de données avec Microsoft Azure Sentinel. Pour plus d’informations, consultez Connecter des sources de données.

Détails du scénario

Le renseignement sur les menaces informatiques peut provenir de nombreuses sources, telles que des flux de données open source, des communautés de partage de renseignements sur les menaces, des flux de renseignements payants et des enquêtes de sécurité au sein des organisations. Le renseignement sur les menaces informatiques peut aller de rapports écrits sur les motivations, l’infrastructure et les techniques d’un acteur de menace jusqu’à des observations spécifiques d’adresses IP, de domaines et de hachages de fichiers. Il fournit un contexte essentiel pour les activités inhabituelles, afin de permettre au personnel de sécurité d’agir rapidement pour protéger les personnes et les ressources.

Le renseignement sur les menaces informatiques le plus utilisé dans les solutions SIEM comme Microsoft Azure Sentinel est l’indicateur de menace, parfois appelé indicateur de compromission. Les indicateurs de menaces associent des URL, des hachages de fichiers, des adresses IP et d’autres données avec une activité de menace connue comme le hameçonnage, les botnets ou les logiciels malveillants. Cette forme de renseignement sur les menaces est souvent appelée renseignement tactique sur les menaces, car des produits de sécurité et d’automatisation peuvent l’utiliser à grande échelle afin de détecter les menaces potentielles et d’assurer une protection. Microsoft Azure Sentinel peut aider à détecter, à répondre et à fournir un contexte de renseignement sur les menaces informatiques en cas d’activité informatique malveillante.

Cas d’usage potentiels

  • Connectez-vous aux données d’indicateurs de menaces open source à partir de serveurs publics pour identifier, analyser et répondre aux activités de menaces.
  • Utilisez les plateformes de renseignement sur les menaces existantes ou des solutions personnalisées avec l’API Microsoft Graph tiIndicators pour vous connecter et contrôler l’accès aux données d’indicateurs de menaces.
  • Fournissez un contexte de renseignement sur les menaces informatiques et des rapports aux enquêteurs de sécurité et aux parties prenantes.

Considérations

  • Les connecteurs de données de renseignement sur les menaces Microsoft Azure Sentinel sont actuellement en préversion publique. Certaines fonctionnalités peuvent être limitées ou non prises en charge.

  • Microsoft Azure Sentinel utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour affecter les rôles intégrés Contributeur, Lecteur et Répondant aux utilisateurs, groupes et services Azure. Ceux-ci peuvent interagir avec les rôles Azure (Propriétaire, Contributeur, Lecteur) et les rôles Log Analytics (Lecteur Log Analytics, Contributeur Log Analytics). Vous pouvez créer des rôles personnalisés et utiliser le contrôle RBAC Azure avancé sur les données que vous stockez dans Microsoft Azure Sentinel. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel.

  • Microsoft Azure Sentinel est gratuit pendant les 31 premiers jours sur tout espace de travail Azure Monitor Log Analytics. Après cela, vous pouvez utiliser des modèles de réservation de capacité ou de paiement à l’utilisation pour les données que vous ingérez et stockez. Pour plus d’informations, consultez Tarification Microsoft Azure Sentinel.

Déployer ce scénario

Les sections qui suivent fournissent des informations détaillées expliquant comment :

Importer des indicateurs de menaces avec le connecteur de données TAXII

Les serveurs TAXII 2.x publient des racines d’API, qui sont des URL hébergeant des collections de renseignement sur les menaces. Si vous connaissez déjà la racine d’API et l’ID de collection du serveur TAXII que vous souhaitez utiliser, vous pouvez ignorer cette section et simplement activer le connecteur TAXII dans Microsoft Azure Sentinel.

Si vous n’avez pas la racine d’API, vous pouvez généralement l’obtenir à partir de la page de documentation du fournisseur de renseignements sur les menaces, mais parfois les seules informations disponibles sont l’URL du point de terminaison de découverte. Vous pouvez obtenir la racine d’API à l’aide du point de terminaison de découverte. L’exemple suivant utilise le point de terminaison de découverte du serveur ThreatStream TAXII 2.0 Anomali Limo.

  1. À partir d’un navigateur, accédez au point de terminaison de découverte de serveur ThreatStream TAXII 2.0, https://limo.anomali.com/taxii, et connectez-vous en utilisant le nom d’utilisateur guest et le mot de passe guest. Une fois que vous êtes connecté, les informations suivantes s’affichent :

    {
       "api_roots":
       [
           "https://limo.anomali.com/api/v1/taxii2/feeds/",
           "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
           "https://limo.anomali.com/api/v1/taxii2/search_filters/"
       ],
       "contact": "info@anomali.com",
       "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "description": "TAXII 2.0 Server (guest)",
       "title": "ThreatStream Taxii 2.0 Server"
    }
    
  2. Pour parcourir les collections, entrez la racine d’API que vous avez obtenue à l’étape précédente dans votre navigateur : https://limo.anomali.com/api/v1/taxii2/feeds/collections/. Des informations telles que les suivantes s’affichent :

    {
     "collections":
     [
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "107",
             "title": "Phish Tank"
         },
             ...
         {
             "can_read": true,
             "can_write": false,
             "description": "",
             "id": "41",
             "title": "CyberCrime"
         }
     ]
    }
    

Vous disposez maintenant des informations dont vous avez besoin pour connecter Microsoft Sentinel à une ou plusieurs collections de serveurs TAXII fournies par Anomali Limo. Par exemple :

Racine d’API ID de la collection
Phish Tank 107
Cybercrime 41

Pour activer le connecteur de données Threat Intelligence – TAXII dans Microsoft Sentinel :

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Azure Sentinel.

  2. Sélectionnez l’espace de travail dans lequel vous voulez importer des indicateurs de menaces à partir du serveur TAXII.

  3. Sélectionnez Connecteurs de données dans le volet de navigation gauche, recherchez et sélectionnez Threat Intelligence – TAXII (Preview) , puis sélectionnez Ouvrir la page du connecteur.

  4. Dans la page Configuration, entrez un nom convivial (pour le serveur) tel que le titre de la collection, l’URL de racine d’API et l’ID de collection que vous souhaitez importer, puis le nom d’utilisateur et le mot de passe, le cas échéant, puis sélectionnez Ajouter.

    Page de configuration TAXII

Vous voyez votre connexion sous Liste des serveurs TAXII 2.0 configurés. Répétez la configuration pour chaque collection que vous souhaitez connecter à partir du même serveur TAXII ou de serveurs différents.

Importer des indicateurs de menaces avec le connecteur de données Platforms

L’API tiIndicators a besoin de l’ID d’application (client), de l’ID de l’annuaire (locataire) et de la clé secrète client de votre solution TIP ou personnalisée pour se connecter et envoyer des indicateurs de menaces à Microsoft Azure Sentinel. Vous pouvez accéder à ces informations en inscrivant la plateforme TIP ou l’application de solution dans Azure Active Directory (Azure AD) et en lui accordant les autorisations nécessaires.

Tout d’abord, inscrivez l’application dans Azure AD :

  1. Dans le portail Azure, recherchez et sélectionnez Inscriptions d’applications, puis sélectionnez Nouvelle inscription.

  2. Dans la page Inscrire une application, entrez un nom pour votre inscription d’application de solution personnalisée ou de plateforme TIP, sélectionnez Comptes dans cet annuaire organisationnel uniquement, puis Inscrire.

    Inscriptions des applications

  3. Une fois l’inscription réussie, copiez et enregistrez les valeurs d’ID d’application (client) et d’ID de l’annuaire (locataire) issues de la page Vue d’ensemble de votre application inscrite.

Ensuite, accordez des autorisations à la solution personnalisée ou TIP afin qu’elle puisse se connecter à l’API Microsoft Graph tiIndicators et envoyer des indicateurs de menaces. Un administrateur général Azure AD doit également accorder son consentement à l’application pour votre organisation.

  1. Sélectionnez Autorisations des API dans le volet de navigation gauche de votre application de solution personnalisée ou TIP inscrite, puis sélectionnez Ajouter une autorisation.

  2. Dans la page Demander des autorisations d’API, sélectionnez Microsoft Graph, puis Autorisations d’application.

  3. Recherchez et sélectionnez ThreatIndicators.ReadWrite.OwnedBy, puis sélectionnez Ajouter des autorisations.

    Autorisations d’application

  4. Sélectionnez Accorder un consentement d’administrateur pour <votre locataire> dans la page Autorisations des API de l’application afin d’accorder le consentement pour votre organisation. Si vous n’avez pas le rôle d’Administrateur général sur votre compte, ce bouton est désactivé. Demandez à un Administrateur général de votre organisation d’effectuer cette étape. Une fois le consentement accordé à votre application, vous devez voir une coche verte sous Statut.

    Accorder le consentement à l’application

  5. Une fois les autorisations et le consentement accordés, sélectionnez Certificats et secrets dans la barre de navigation gauche de votre application, puis Nouveau secret client.

  6. Sélectionnez Ajouter pour obtenir une clé API de secret pour votre application.

    Obtenir un secret client

    Veillez à copier et à enregistrer maintenant la clé secrète client, car vous ne pourrez pas récupérer la clé secrète une fois que vous aurez quitté cette page.

Dans votre solution personnalisée ou TIP intégrée, entrez les valeurs d’ID d’application (client) , d’ID de l’annuaire (locataire) et de clé secrète client que vous avez enregistrées. Définissez Microsoft Azure Sentinel comme cible, et définissez une action pour chaque indicateur. Alerte est l’action la plus pertinente pour la plupart des usages dans Microsoft Azure Sentinel. L’API Microsoft Graph tiIndicators envoie désormais des indicateurs de menaces à Microsoft Azure Sentinel, qui sont disponibles pour tous les espaces de travail Microsoft Azure Sentinel de votre organisation.

Pour finir, activez le connecteur de données Threat Intelligence Platforms Microsoft Azure Sentinel afin d’importer les indicateurs de menaces envoyés par votre solution personnalisée ou TIP par le biais de l’API Microsoft Graph tiIndicators :

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Azure Sentinel.
  2. Sélectionnez l’espace de travail dans lequel vous voulez importer les indicateurs de menaces envoyés par votre solution personnalisée ou TIP.
  3. Sélectionnez Connecteurs de données dans le volet de navigation gauche, recherchez et sélectionnez Threat Intelligence Platforms (Preview) , puis sélectionnez Ouvrir la page du connecteur.
  4. Étant donné que vous avez déjà effectué les étapes d’inscription et de configuration, sélectionnez Connecter.

Après quelques minutes, les indicateurs de menaces de votre solution personnalisée ou TIP doivent commencer à circuler dans l’espace de travail Microsoft Azure Sentinel.

Créer une règle analytique à partir d’un modèle

Cet exemple utilise le modèle de règle intitulé TI map IP entity to AzureActivity, qui compare les indicateurs de menaces de type d’adresse IP à tous vos événements d’adresses IP d’activité Azure. Toute correspondance génère une alerte de sécurité et un incident correspondant en vue d’une enquête par votre équipe en charge des opérations de sécurité.

L’exemple part du principe que vous avez utilisé l’un des connecteurs de données de renseignement sur les menaces (ou les deux) pour importer des indicateurs de menaces, et le connecteur de données Activité Azure pour importer vos événements au niveau de l’abonnement Azure. Vous avez besoin des deux types de données pour utiliser correctement cette règle analytique.

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Azure Sentinel.

  2. Sélectionnez l’espace de travail où vous avez importé des indicateurs de menaces à l’aide de l’un ou l’autre connecteur de données de renseignement sur les menaces.

  3. Dans le volet de navigation gauche, sélectionnez Analytique.

  4. Sous l’onglet Modèles de règle, recherchez et sélectionnez la règle (Preview) TI map IP entity to AzureActivity, puis sélectionnez Créer une règle.

  5. Dans la première page Assistant de règle analytique - Créer une règle à partir d’un modèle, vérifiez que le Statut de la règle est Activé, et modifiez le nom ou la description de la règle si vous le souhaitez. Sélectionnez Suivant : Définir la logique de la règle.

    Créer une règle analytique

    La page de logique de la règle contient la requête de la règle, les entités à mapper, la planification de la règle et le nombre de résultats de requête qui génèrent une alerte de sécurité. Les paramètres du modèle s’exécutent une fois par heure, identifient tous les indicateurs de compromission d’adresses IP qui correspondent à des adresses IP d’événements Azure, et génèrent des alertes de sécurité pour toutes les correspondances. Vous pouvez conserver ces paramètres ou les modifier en fonction de vos besoins. Quand vous avez terminé, cliquez sur Suivant : Paramètres d’incident (préversion) .

  6. Sous Paramètres d’incident (préversion) , vérifiez que Créer des incidents à partir d’alertes déclenchées par cette règle analytique est Activé, puis sélectionnez Suivant : Réponse automatisée.

    Cette étape vous permet de configurer l’automatisation pour qu’elle se déclenche lorsque la règle génère une alerte de sécurité. L’automatisation dans Microsoft Sentinel utilise des playbooks fournis par Azure Logic Apps. Pour plus d’informations, consultez Didacticiel : Configurer des réponses automatisées aux menaces dans Microsoft Sentinel. Pour cet exemple, il vous suffit de sélectionner Suivant : Passer en revue et, après avoir passé en revue les paramètres, de sélectionner Créer.

Votre règle s’active immédiatement lors de sa création, puis se déclenche conformément à la planification.

Afficher et modifier le classeur de renseignement sur les menaces

  1. Dans le portail Azure, recherchez et sélectionnez Microsoft Azure Sentinel.

  2. Sélectionnez l’espace de travail où vous avez importé des indicateurs de menaces à l’aide de l’un ou l’autre connecteur de données de renseignement sur les menaces.

  3. Dans le volet de navigation gauche, sélectionnez Classeurs.

  4. Recherchez et sélectionnez le classeur intitulé Renseignement sur les menaces.

  5. Vérifiez que vous disposez des données et des connexions nécessaires, comme indiqué, puis sélectionnez Enregistrer.

    Classeur Renseignement sur les menaces

    Dans la fenêtre contextuelle, sélectionnez un emplacement, puis sélectionnez OK. Cette étape enregistre le classeur afin que vous puissiez le modifier et enregistrer vos modifications.

  6. Sélectionnez Afficher le classeur enregistré pour ouvrir le classeur et voir les graphiques par défaut fournis par le modèle.

Pour modifier le classeur, sélectionnez Modifier dans la barre d’outils en haut de la page. Vous pouvez sélectionner Modifier en regard de n’importe quel graphique pour modifier la requête et les paramètres de ce graphique.

Pour ajouter un nouveau graphique qui montre les indicateurs de menaces par type de menace

  1. Sélectionnez Modifier en haut de la page, faites défiler la page jusqu’en bas et sélectionnez Ajouter, puis Ajouter une requête.

  2. Sous Espace de travail Log Analytics - Requête de journaux, entrez la requête suivante :

    
    ThreatIntelligenceIndicator
    | summarize count() by ThreatType
    
  3. Sélectionnez Graphique à barres dans la liste déroulante Visualisation, puis Modification terminée.

  4. En haut de la page, sélectionnez Modification terminée, puis sélectionnez l’icône Enregistrer pour enregistrer votre nouveau graphique et votre nouveau classeur.

    Nouveau graphique de classeur

Étapes suivantes

Visitez Microsoft Azure Sentinel sur GitHub pour voir les contributions de toute la Communauté et de Microsoft. Vous y trouverez de nouvelles idées, des modèles et des conversations sur toutes les fonctionnalités de Microsoft Azure Sentinel.

Les classeurs Microsoft Azure Sentinel étant basés sur des classeurs Azure Monitor, une documentation complète et de nombreux modèles sont déjà disponibles. L’article Créer des rapports interactifs avec les classeurs Azure Monitor constitue un excellent point de départ. Il existe une vaste communauté d’utilisateurs de classeurs Azure Monitor sur GitHub, où vous pouvez télécharger des modèles supplémentaires et partager vos propres modèles.

Pour en savoir plus sur les technologies proposées, consultez les articles suivants :