Faire apparaître des détails d'événements personnalisés dans les alertes de Microsoft Sentinel
Les règles analytiques de requête planifiée analysent les événements issus des sources de données connectées à Microsoft Sentinel, et produisent des alertes lorsque le contenu de ces événements est significatif du point de vue de la sécurité. Ces alertes sont ensuite analysées, regroupées et filtrées par les différents moteurs de Microsoft Sentinel et transformées en incidents qui nécessitent l'attention d'un analyste du centre des opérations de sécurité (SOC). Mais lorsque l'analyste visualise l'incident, seules les propriétés des alertes de composant proprement dites sont immédiatement visibles. Pour accéder au contenu réel (informations contenues dans les événements), il faut creuser un peu.
À l'aide de la fonctionnalité Détails personnalisés de l'Assistant de règle analytique, vous pouvez faire apparaître des données d'événements dans les alertes générées à partir de ces événements, en intégrant ces données aux propriétés des alertes. Vous bénéficiez ainsi d'une visibilité immédiate sur le contenu des événements au sein de vos incidents, ce qui vous permet de trier, d'examiner, de tirer des conclusions et de réagir avec beaucoup plus de rapidité et d'efficacité.
La procédure détaillée ci-dessous fait partie de l'Assistant Création de règles analytiques. Elle est traitée ici de manière indépendante afin de prendre en charge le scénario d'ajout ou de modification de détails personnalisés dans une règle analytique existante.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Pour faire apparaître des détails d'événements personnalisés
Rendez-vous sur la page Analytics depuis le portail par lequel vous accédez à Microsoft Sentinel :
Dans la section Configuration du menu de navigation de Microsoft Sentinel, sélectionnez Analytics.
Sélectionnez une règle de requête planifiée, puis cliquez sur Modifier. Ou créez une règle en cliquant sur Créer > Règle de requête planifiée en haut de l’écran.
Cliquez sur l’onglet Définir la logique de la règle.
Dans la section Enrichissement des alertes, développez Détails personnalisés.
Dans la section Détails personnalisés désormais développée, ajoutez les paires clé-valeur correspondant aux détails que vous souhaitez faire apparaître :
Dans le champ Clé, entrez le nom de votre choix ; il s'agit du nom de champ qui apparaîtra dans les alertes.
Dans le champ Valeur, accédez à la liste déroulante et choisissez le paramètre d'événement que vous souhaitez faire apparaître dans les alertes. Cette liste contiendra les valeurs correspondant aux champs des tables qui font l'objet de la requête de règle.
Cliquez sur Ajouter plus afin de faire apparaître plus de détails, en répétant les dernières étapes pour définir les paires clé-valeur.
Si vous changez d'avis, ou si vous avez fait une erreur, vous pouvez supprimer un détail personnalisé en cliquant sur l'icône de la Corbeille en regard de la liste déroulante Valeur de ce détail.
Après avoir défini les détails personnalisés, cliquez sur l'onglet Examiner et créer. Une fois la règle validée, cliquez sur Enregistrer.
Notes
Limites du service
Vous pouvez définir jusqu'à 20 détails personnalisés au sein d'une même règle analytique.
La taille maximale combinée de tous les détails personnalisés et des détails d’alerte est de 64 Ko.
Étapes suivantes
Dans ce document, vous avez appris à faire apparaître des détails personnalisés dans les alertes à l'aide des règles analytiques de Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Explorez les autres façons d’enrichir vos alertes :
- Obtenez une vue d’ensemble complète des règles analytiques de requête planifiée.
- Apprenez-en davantage sur les entités de Microsoft Sentinel.