Share via

Ajouter d’entités au renseignement sur les menaces dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal

Quand vous inspectez un incident, vous examinez les entités et leur contexte comme étant une partie importante de la compréhension de l’étendue et de la nature de l’incident. Lorsque vous découvrez une entité comme un nom de domaine malveillant, une URL, un fichier ou une adresse IP dans l’incident, elle doit être étiquetée et suivie comme indicateur de compromission (IOC) dans votre renseignement sur les menaces.

Par exemple, vous pouvez découvrir une adresse IP effectuant des analyses de port sur votre réseau ou fonctionner en tant que nœud de commande et de contrôle, en envoyant et/ou en recevant des transmissions à partir d’un grand nombre de nœuds dans votre réseau.

Microsoft Sentinel vous permet de marquer ces types d’entités comme malveillants, directement dans l’investigation de votre incident et de les ajouter à vos listes d’indicateurs de menace. Vous pourrez ensuite afficher les indicateurs ajoutés dans Journaux et Informations sur les menaces, et les utiliser dans votre espace de travail Microsoft Sentinel.

Ajoutez une entité à votre renseignement sur les menaces

La nouvelle page de détails des incidents vous offre une autre façon d’ajouter des entités aux renseignements sur les menaces, en plus du graphique d’investigation. Les deux manières sont présentées ci-dessous.

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Incidents.

  2. Sélectionnez un incident à investiguer. Dans le panneau des détails de l’incident, sélectionnez Afficher les détails complets pour ouvrir la page des détails de l’incident.

    Capture d’écran de la page Détails de l’incident.

  3. Recherchez l’entité dans le widget Entités que vous souhaitez ajouter en tant qu’indicateur de menace. (Vous pouvez filtrer la liste ou entrer une chaîne de recherche pour vous aider à la localiser.)

  4. Sélectionnez les trois points à droite de l'entité, puis sélectionnez Ajouter à TI dans le menu contextuel.

    Seuls les types d’entités suivants peuvent être ajoutés en tant qu’indicateurs de menace :

    • Nom de domaine
    • Adresse IP (IPv4 et IPv6)
    • URL
    • Fichier (hachage)

    Capture d’écran de l’ajout d’une entité aux renseignements sur les menaces.

Quelle que soit l’interface que vous choisissez, vous retrouverez ici :

  1. Le panneau latéral Nouvel indicateur s’ouvre. Les champs suivants seront renseignés automatiquement :

    • Type

      • Type d’indicateur représenté par l’entité que vous ajoutez.
        Liste déroulante avec les valeurs possibles : ipv4-addr, ipv6-addr, URL, file, domain-name
      • Obligatoire ; renseigné automatiquement en fonction du type d’entité.

    • Valeur

      • Le nom de ce champ passe dynamiquement au type d’indicateur sélectionné.
      • Valeur de l’indicateur lui-même.
      • Obligatoire ; renseigné automatiquement par la valeur de l’entité.

    • Balises

      • Étiquettes de texte libre que vous pouvez ajouter à l’indicateur.
      • Facultatif ; renseigné automatiquement par l’ID d’incident. Vous pouvez également en ajouter d’autres.

    • Nom

      • Nom de l’indicateur— il s’agit de ce qui s’affichera dans votre liste d’indicateurs.
      • Facultatif ; renseigné automatiquement par le nom de l’incident.

    • Créé par

      • Créateur de l’indicateur.
      • Facultatif ; renseigné automatiquement par l’utilisateur connecté à Microsoft Sentinel.

    Remplissez les champs restants en conséquence.

    • Type de menace

      • Type de menace représenté par l’indicateur.
      • Facultatif ; texte libre.

    • Description

      • Description de l’indicateur.
      • Facultatif ; texte libre.

    • Révoqué

      • État révoqué de l’indicateur. Cochez la case à cocher pour révoquer l’indicateur, cochez la case pour l’activer.
      • Facultatif ; booléen.

    • Confidence

      • Score reflétant la confiance dans la justesse des données, par pourcentage.
      • Entier facultatif de 1 à 100

    • Chaîne de destruction

    • Valide à partir du

      • Heure à partir de laquelle cet indicateur est considéré comme valide.
      • Requis ; date/heure

    • Valide jusqu’au :

      • Heure après laquelle cet indicateur ne doit plus être considéré comme valide.
      • Facultatif ; date/heure

    Capture d’écran de la saisie des informations dans le panneau du nouvel indicateur de menace.

  2. Lorsque tous les champs sont remplis à votre satisfaction, sélectionnez Appliquer. Vous verrez un message de confirmation que votre indicateur a été créé dans le coin supérieur droit.

  3. L’entité sera ajoutée en tant qu’indicateur de menace dans votre espace de travail. Vous pouvez la trouver dans la liste des indicateurs de la page Informations sur les menaces, et aussi dans la table ThreatIntelligenceIndicators dans Journaux.

Contenu connexe

Dans cet article, vous avez appris à ajouter des entités à vos listes d’indicateurs de menace. Pour plus d'informations, consultez les pages suivantes :