Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft

Les alertes déclenchées dans des solutions de sécurité Microsoft qui sont connectées à Microsoft Sentinel, comme Microsoft Defender for Cloud Apps et Microsoft Defender pour Identity (anciennement Azure ATP), ne créent pas automatiquement d’incidents dans Microsoft Sentinel. Par défaut, quand vous connectez une solution Microsoft à Microsoft Sentinel, toute alerte générée dans ce service sera stockée sous forme de données brutes dans Microsoft Sentinel, dans la table Security Alert de votre espace de travail Microsoft Sentinel. Vous pouvez ensuite utiliser ces données comme n’importe quelle autre donnée brute que vous connectez à Microsoft Sentinel.

Vous pouvez facilement configurer Microsoft Sentinel pour créer automatiquement des incidents chaque fois qu’une alerte est déclenchée dans une solution de sécurité Microsoft connectée en suivant les instructions mentionnées dans cet article.

Prérequis

Vous devez connecter des solutions de sécurité Microsoft pour activer la création d’incident à partir d’alertes de service de sécurité.

Utilisation de règles d’analytique de création d’incidents de sécurité Microsoft

Utilisez les règles intégrées disponibles dans Microsoft Sentinel pour choisir les solutions de sécurité Microsoft connectées qui doivent créer automatiquement des incidents Microsoft Sentinel en temps réel. Vous pouvez également modifier les règles afin de définir des options plus spécifiques pour le filtrage des alertes générées par la solution de sécurité Microsoft en vue de créer des incidents dans Microsoft Sentinel. Par exemple, vous pouvez choisir de créer automatiquement des incidents Microsoft Sentinel uniquement à partir d’alertes Microsoft Defender pour le cloud dont la gravité est élevée.

  1. Dans le portail Azure, sous Microsoft Sentinel, sélectionnez Analyse.

  2. Sélectionnez l’onglet Modèles de règle pour afficher toutes les règles d’analytique intégrées.

    Modèles de règle

  3. Choisissez le modèle de règle analytique Sécurité Microsoft que vous voulez utiliser, puis sélectionnez Créer une règle.

    Règle d’analytique de sécurité

  4. Vous pouvez modifier les détails de la règle et choisir de filtrer les alertes qui vont créer des incidents par niveau de gravité d’alerte ou sur le texte contenu dans le nom de l’alerte.

    Par exemple, si vous choisissez Microsoft Defender pour le cloud dans le champ Service de sécurité Microsoft et que vous choisissez Elevée dans le champ Filtrer par gravité, seules les alertes de sécurité dont le niveau de gravité est élevé créeront automatiquement des incidents dans Microsoft Sentinel.

    Assistant Créer une règle

  5. Vous pouvez également créer une règle de sécurité Microsoft qui filtre les alertes de différents services de sécurité Microsoft en cliquant sur +Créer, puis en sélectionnant Règle de création d’incident Microsoft.

    Règle de création d’incident

    Vous pouvez créer plusieurs règles d’analytique Microsoft Sécurité par type de service de sécurité Microsoft. Cela ne crée pas d’incidents en double, car chaque règle est utilisée comme filtre. Même si une alerte correspond à plusieurs règles d’analyse Sécurité Microsoft, elle crée un seul incident Microsoft Sentinel.

Activer la génération automatique d’incidents pendant la connexion

Quand vous connectez une solution de sécurité Microsoft, vous pouvez choisir si vous voulez que les alertes de la solution de sécurité génèrent automatiquement des incidents dans Microsoft Sentinel.

  1. Connectez une source de données de solution de sécurité Microsoft.

    Générer des incidents de sécurité

  2. Sous Créer des incidents, sélectionnez Activer pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir des alertes générées dans le service de sécurité connecté. Vous pouvez ensuite modifier cette règle sous Analytique, puis Règles actives.

Étapes suivantes