Créer des règles analytiques planifiées à partir de modèles

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

De loin le type de règle analytique le plus courant, les règles planifiées sont basées sur des requêtes Kusto configurées pour s’exécuter à intervalles réguliers et examiner les données brutes d’une période de « recherche arrière » définie. Ces requêtes peuvent effectuer des opérations statistiques complexes sur les données cibles, révélant des bases de référence et des valeurs hors norme dans des groupes d’événements. Si le nombre de résultats capturés par la requête dépasse le seuil configuré dans la règle, la règle produit une alerte.

Microsoft crée une vaste gamme de modèles de règle analytique disponibles dans les nombreuses solutions fournies dans le hub de contenu, et vous encourage vivement à les utiliser pour créer vos règles. Les requêtes dans les modèles de règle planifiée ont été écrites par des experts en science des données et en sécurité, chez Microsoft ou chez le fournisseur de la solution fournissant le modèle.

Cet article vous montre comment créer une règle analytique planifiée à partir d’un modèle.

Important

Microsoft Sentinel est disponible dans le cadre de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Voir les règles analytiques existantes

Pour voir les règles analytiques installées dans Microsoft Sentinel, accédez à la page Analytique. L’onglet Modèles de règle affiche tous les modèles de règle installés. Si vous souhaitez trouver d’autres modèles de règles, accédez au Hub de contenu dans Microsoft Sentinel pour installer des solutions de produits associées ou du contenu autonome.

Azure portal

1. Sélectionnez Analytics dans la section Configuration du menu de navigation Microsoft Sentinel.

2. Dans l’écran Analytique, sélectionnez l’onglet Modèles de règle.

3. Si vous voulez filtrer la liste sur les modèles Planifiés :

   1. Sélectionnez Ajouter un filtre et choisissez Type de règle dans la liste des filtres.

   2. Dans la liste obtenue, sélectionnez Planifiés. Sélectionnez ensuite Appliquer.

   

Portail Defender

1. Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analyse.

2. Dans l’écran Analytique, sélectionnez l’onglet Modèles de règle.

3. Si vous voulez filtrer la liste sur les modèles Planifiés :

   1. Sélectionnez Ajouter un filtre et choisissez Type de règle dans la liste des filtres.

   2. Dans la liste obtenue, sélectionnez Planifiés. Sélectionnez ensuite Appliquer.

   

Créer une règle à partir d’un modèle

Cette procédure décrit comment utiliser une règle analytique à partir d’un modèle.

Azure portal

Dans la section Configuration du menu de navigation de Microsoft Sentinel, sélectionnez Analytics.

Portail Defender

Dans le menu de navigation de Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analyse.

1. Dans l’écran Analytique, sélectionnez l’onglet Modèles de règle.

2. Sélectionnez un nom de modèle, puis sélectionnez le bouton Créer une règle dans le volet d’informations pour créer une règle active basée sur ce modèle.

   Chaque modèle possède une liste de sources de données requises. Lorsque vous ouvrez le modèle, la disponibilité des sources de données est automatiquement vérifiée. Si une source de données n’est pas activée, le bouton Créer une règle peut être désactivé ou un message peut s’afficher à cet effet.

   

3. L’Assistant Création de règle s’ouvre. Tous les détails sont renseignés automatiquement.

4. Parcourez les onglets de l’Assistant, personnalisez la logique et d’autres paramètres de règle si possible pour mieux répondre à vos besoins spécifiques.

   Quand vous arrivez à la fin de l’Assistant Création de règle, Microsoft Sentinel crée la règle. La nouvelle règle s’affiche sous l’onglet Règles actives.

   Répétez le processus pour créer d’autres règles. Pour plus d’informations sur la personnalisation de vos règles dans l’Assistant Création de règle, consultez Créer une règle analytique personnalisée à partir de zéro.

Conseil

• Veillez à activer toutes les règles associées à vos sources de données connectées afin de garantir une protection complète de votre environnement. La méthode la plus efficace pour activer les règles analytiques est directement à partir de la page du connecteur de données, qui liste toutes les règles associées. Pour plus d’informations, consultez Connecter des sources de données.

• Vous pouvez également envoyer des règles à Microsoft Sentinel via l’API et PowerShell , même si cela demande davantage d’effort.

  Lorsque vous utilisez l’API ou PowerShell, vous devez d’abord exporter les règles vers JSON avant de les activer. L’API ou PowerShell peuvent être utiles lors de l’activation de règles dans plusieurs instances de Microsoft Sentinel avec des paramètres identiques dans chaque instance.

Étapes suivantes

Dans ce document, vous avez appris à créer des règles analytiques planifiées à partir de modèles dans Microsoft Sentinel.

• En savoir plus sur les règles d’analyse.
• Découvrez comment créer une règle analytique à partir de zéro.