Partager via

Détection des menaces dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Une fois que vous avez configuré Microsoft Sentinel pour collecter des données dans l’ensemble de votre organisation, vous devez constamment parcourir toutes ces données pour détecter les menaces de sécurité pouvant affecter votre environnement. Pour accomplir cette tâche, Microsoft Sentinel fournit des règles de détection des menaces qui s’exécutent régulièrement, et interrogent les données collectées et les analysent pour détecter les menaces. Ces règles sont disponibles dans différentes variantes et sont collectivement appelées règles analytiques.

Vous pouvez créer ces règles à partir de zéro, avec l’Assistant Règle analytique intégré. Toutefois, Microsoft vous encourage fortement à utiliser la vaste gamme de modèles de règle analytique disponibles dans les nombreuses solutions pour Microsoft Sentinel fournies dans le hub de contenu. Ces modèles sont des prototypes de règle prédéfinis, conçus par des équipes d’analystes et d’experts en sécurité, basés sur leur connaissance des menaces connues, des vecteurs d’attaque courants et des chaînes d’escalade d’activités suspectes. Vous activez les règles à partir de ces modèles pour rechercher automatiquement toute activité qui semble suspecte dans votre environnement. La plupart des modèles peuvent être personnalisés pour rechercher des types d’événement spécifiques, ou les masquer, en fonction de vos besoins.

Ces règles génèrent des alertes quand elles trouvent ce qu’elles cherchent. Les alertes contiennent des informations sur les événements détectés, comme les entités (utilisateurs, appareils, adresses et autres éléments) impliquées. Les alertes sont agrégées et corrélées dans des incidents (fichiers de cas) que vous pouvez attribuer et investiguer pour découvrir l’étendue complète de la menace détectée et y répondre en conséquence.

Cet article vous aide à comprendre comment Microsoft Sentinel détecte les menaces et ce qui se passe ensuite.

Important

Microsoft Sentinel est disponible dans le cadre de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Microsoft Sentinel est désormais pris en charge dans le portail Defender pour une utilisation en production. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Types de règles analytiques

Vous pouvez voir les règles analytiques et les modèles que vous pouvez utiliser dans la page Analytique du menu Configuration dans Microsoft Sentinel. Les règles actives actuellement sont visibles sous un onglet, et les modèles pour créer des règles sous un autre onglet. Un troisième onglet affiche les Anomalies, un type de règle spécial décrit plus loin dans cet article.

Pour voir d’autres modèles de règle que ceux affichés, accédez au Hub de contenu dans Microsoft Sentinel pour installer les solutions de produit associées ou du contenu autonome. Des modèles de règle analytique sont disponibles avec presque toutes les solutions de produit dans le hub de contenu.

Les types suivants de règles analytiques et de modèles de règle sont disponibles dans Microsoft Sentinel :

En plus des types de règle précédents, il existe d’autres types de modèle spécialisé pouvant chacun créer une instance de règle, avec des options de configuration limitées :

Règles planifiées

De loin le type de règle analytique le plus courant, les règles planifiées sont basées sur des requêtes Kusto configurées pour s’exécuter à intervalles réguliers et examiner les données brutes d’une période de « recherche arrière » définie. Si le nombre de résultats capturés par la requête dépasse le seuil configuré dans la règle, la règle produit une alerte.

Les requêtes dans les modèles de règle planifiée ont été écrites par des experts en science des données et en sécurité, chez Microsoft ou chez le fournisseur de la solution fournissant le modèle. Les requêtes peuvent effectuer des opérations statistiques complexes sur les données cibles, révélant des bases de référence et des valeurs hors norme dans des groupes d’événements.

La logique de requête s’affiche dans la configuration de la règle. Vous pouvez utiliser la logique de requête et les paramètres de planification et de recherche comme définis dans le modèle, ou les personnaliser pour créer des règles.

En savoir plus sur les Règles analytiques planifiées dans Microsoft Sentinel.

Règles en quasi-temps réel

Les règles NRT sont un sous-ensemble limité des règles planifiées. Elles sont conçues pour s’exécuter une fois par minute, afin de vous fournir des informations aussi récentes que possible.

Elles fonctionnent principalement comme des règles planifiées et sont configurées de façon similaire, avec certaines limitations.

En savoir plus sur la Détection rapide des menaces avec les règles analytiques en quasi-temps réel (NRT) dans Microsoft Sentinel.

Règles d’anomalie

Les règles d’anomalie utilisent le Machine Learning pour observer des types spécifiques de comportements sur une période donnée pour déterminer une base de référence. Chaque règle a ses propres paramètres et seuils uniques, adaptés au comportement en cours d’analyse. Une fois la période d’observation terminée, la base de référence est définie. Quand la règle observe des comportements qui dépassent les limites définies dans la base de référence, elle signale ces occurrences comme anormales.

Bien que les configurations des règles prêtes à l’emploi ne puissent pas être modifiées ou ajustées, vous pouvez dupliquer une règle, puis modifier et ajuster la duplication. Dans ce cas, exécutez la duplication en mode Flighting et l’original simultanément en mode Production. Comparez ensuite les résultats et basculez la duplication en mode Production si et quand son ajustement vous convient.

Les anomalies elles-mêmes n’indiquent pas nécessairement un comportement malveillant ni même suspect. Par conséquent, les règles d’anomalie ne génèrent pas leurs propres alertes. À la place, elles enregistrent les résultats de leur analyse (les anomalies détectées) dans la table Anomalies. Vous pouvez interroger cette table pour fournir un contexte qui améliore vos détections, vos investigations et votre chasse des menaces.

Pour plus d’informations, consultez Utiliser des anomalies personnalisables pour détecter des menaces dans Microsoft Sentinel et Utiliser des règles d’analyse de détection d’anomalie dans Microsoft Sentinel.

Règles de sécurité Microsoft

Bien que les règles planifiées et NRT créent automatiquement des incidents pour les alertes qu’elles génèrent, les alertes générées dans des services externes et ingérées dans Microsoft Sentinel ne créent pas leurs propres incidents. Les modèles de sécurité Microsoft créent automatiquement des incidents Microsoft Sentinel à partir des alertes générées dans d’autres solutions de sécurité Microsoft, en temps réel. Vous pouvez utiliser des modèles de sécurité Microsoft pour créer des règles ayant une logique similaire.

Important

Les règles de sécurité Microsoft ne sont pas disponibles si vous avez :

Dans ces scénarios, Microsoft Defender XDR crée les incidents à la place.

Toutes les règles que vous avez définies au préalable sont automatiquement désactivées.

Pour plus d’informations sur les règles de création d’incident de sécurité Microsoft, consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft.

Informations sur les menaces

Tirez parti de la veille des menaces générée par Microsoft pour générer des alertes et des incidents haute fidélité avec la règle Microsoft Threat Intelligence Analytics. Cette règle unique n’est pas personnalisable, mais une fois activée, elle fait correspondre automatiquement des journaux CEF (Common Event Format), données Syslog ou événements DNS Windows aux indicateurs de menace d’URL, d’adresse IP et de domaine à partir de Microsoft Threat Intelligence. Certains indicateurs contiennent d’autres informations de contexte via MDTI (Microsoft Defender Threat Intelligence).

Pour plus d’informations sur l’activation de cette règle, consultez Utiliser l’analytique de correspondance pour détecter les menaces.
Pour plus d’informations sur MDTI, consultez Qu’est-ce que Microsoft Defender Threat Intelligence.

Détection des attaques multiphases avancées (Fusion)

Microsoft Sentinel utilise le moteur de corrélation Fusion, avec ses algorithmes scalables de machine learning, pour détecter les attaques multiphases avancées en mettant en corrélation de nombreuses alertes et événements de faible fidélité de plusieurs produits dans des incidents exploitables haute fidélité. La règle de détection des attaques multiphases avancées est activée par défaut. Comme la logique est masquée et donc non personnalisable, il ne peut y avoir qu’une seule règle avec ce modèle.

Le moteur Fusion peut également corréler des alertes produites par des règles d’analyse planifiées avec celles d’autres systèmes, en produisant par conséquent des incidents de haute fidélité.

Important

Le type de règle de détection des attaques multiphases avancées n’est pas disponible si vous avez :

Dans ces scénarios, Microsoft Defender XDR crée les incidents à la place.

De plus, certains modèles de détection Fusion sont actuellement en PRÉVERSION (pour voir lesquels, consultez Détection des attaques multiphases avancées dans Microsoft Sentinel). Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Analytique comportementale du Machine Learning (ML)

Tirez parti des algorithmes de machine learning propriétaires de Microsoft pour générer des alertes et des incidents haute fidélité avec les règles analytiques du comportement ML. Ces règles uniques (actuellement en préversion) ne sont pas personnalisables, mais quand elles sont activées, détectent des comportements de connexion SSH et RDP anormaux spécifiques en fonction de l’IP, de la géolocalisation et des informations historiques de l’utilisateur.

Autorisations d’accès pour des règles d’analyse

Lorsque vous créez une règle d’analyse, un jeton d’autorisations d’accès est appliqué à la règle et enregistré avec elle. Ce jeton veille à ce que la règle puisse accéder à l’espace de travail qui contient les données interrogées par la règle, et que cet accès soit conservé même si le créateur de la règle perd l’accès à cet espace de travail.

Toutefois, il existe une exception à cet accès : lorsqu’une règle est créée pour accéder à des espaces de travail dans d’autres abonnements ou locataires, comme ce qui se passe dans le cas d’un MSSP, Microsoft Sentinel prend des mesures de sécurité supplémentaires pour empêcher l’accès non autorisé aux données client. Pour ces types de règles, les informations d’identification de l’utilisateur qui a créé la règle sont appliquées à la règle au lieu d’un jeton d’accès indépendant de sorte que, lorsque l’utilisateur n’a plus accès à l’autre abonnement ou tenant, la règle cesse de fonctionner.

Si vous utilisez Microsoft Sentinel dans un scénario inter-abonnements ou inter-tenants, sachez que si l’un de vos analystes ou ingénieurs perd l’accès à un espace de travail particulier, toutes les règles créées par cet utilisateur cessent de fonctionner. Dans cette situation, vous recevez un message de surveillance de l’intégrité concernant l’« accès insuffisant à la ressource » et la règle est désactivée automatiquement après avoir échoué un certain nombre de fois.

Exporter des règles vers un modèle ARM

Vous pouvez facilement exporter votre règle vers un modèle Azure Resource Manager (ARM) si vous souhaitez gérer et déployer vos règles en tant que code. Vous pouvez également importer des règles à partir de fichiers modèles afin de les afficher et de les modifier dans l’interface utilisateur.

Étapes suivantes