Partager via

Utiliser l’analytique de correspondance pour détecter les menaces

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Tirez parti de la veille des menaces générée par Microsoft pour générer des alertes et des incidents de haute fidélité avec la règle Analytique Microsoft Defender Threat Intelligence. Cette règle intégrée dans Microsoft Sentinel met en correspondance des indicateurs avec des journaux CEF (Common Event Format), des événements DNS Windows avec des domaines et indicateurs de menace IPv4, des données Syslog, etc.

Important

L’analyse de correspondance est actuellement en préversion. Voir les Avenant aux conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure pour découvrir plus de conditions juridiques applicables aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui n’ont pas encore été mises en disponibilité générale.

Prérequis

Vous devez installer un ou plusieurs connecteurs de données pris en charge pour produire des alertes et des incidents haute fidélité. Il n’est pas nécessaire de disposer d’une licence Microsoft Defender Threat Intelligence premium. Installez les solutions appropriées à partir du hub de contenu pour connecter ces sources de données :

  • Common Event Format
  • DNS (préversion)
  • syslog
  • Journaux d’activité Office
  • Journaux d’activité Azure
  • Journaux d’activité DNS ASIM
  • Sessions réseau ASIM

Capture d’écran des connexions de sources de données de la règle Microsoft Defender Threat Intelligence Analytics.

Par exemple, en fonction de votre source de données, vous pouvez utiliser les solutions et connecteurs de données suivants :

Solution Connecteur de données
Solution Common Event Format pour Sentinel Connecteur Common Event Format pour Microsoft Sentinel
Windows Server DNS Connecteur DNS pour Microsoft Sentinel
Solution Syslog pour Sentinel Connecteur Syslog pour Microsoft Sentinel
Solution Microsoft 365 pour Sentinel Connecteur Office 365 pour Microsoft Sentinel
Solution d’activité Azure pour Sentinel Connecteur Azure Activity pour Microsoft Sentinel

Configurer la règle d’analytique de correspondance

L’analytique de correspondance est configurée lorsque vous activez la règle Microsoft Defender Threat Intelligence Analytics.

  1. Dans la section Configuration, sélectionnez le menu Analytique.

  2. Sélectionnez l’onglet Modèles de règle.

  3. Dans la fenêtre de recherche, entrez Threat intelligence.

  4. Sélectionnez le modèle de règle Microsoft Defender Threat Intelligence Analytics.

  5. Sélectionnez Créer une règle. Les détails de la règle sont en lecture seule et son état par défaut est activé.

  6. Sélectionnez Vérifier>Créer.

Capture d’écran de la règle Analytique Microsoft Defender Threat Intelligence activée dans l’onglet Règles actives.

Sources de données et indicateurs

L’analytique Microsoft Defender Threat Intelligence (MDTI) établit une correspondance entre vos journaux et les indicateurs de domaine, d’adresse IP et d’URL de la manière suivante :

  • Les journaux CEF ingérés dans la table CommonSecurityLog CommonSecurityLog Log Analytics correspondent aux indicateurs d’URL et de domaine s’ils sont renseignés dans le champ RequestURL, et aux indicateurs IPv4 dans le champ DestinationIP.
  • Journaux DNS Windows, où SubType == "LookupQuery" ingéré dans la table DnsEvents correspond aux indicateurs de domaine renseignés dans le champ Name, et aux indicateurs IPv4 dans le champ IPAddresses.
  • Événements SyslogFacility == "cron" ingéré dans la table Syslog correspond aux indicateurs de domaine et IPv4 directement à partir du champ SyslogMessage.
  • Les journaux d’activité Office ingérés dans la table OfficeActivity correspondent aux indicateurs IPv4 directement depuis le champ ClientIP.
  • Les journaux d’activité Azure ingérés dans la table AzureActivity correspondent aux indicateurs IPv4 directement depuis le champ CallerIpAddress.
  • Les journaux d’activité DNS ASIM, ingérés dans la table ASimDnsActivityLogs correspondent aux indicateurs de domaine s’ils sont renseignés dans le champ DnsQuery, et aux indicateurs IPv4 dans le champ DnsResponseName.
  • Les sessions réseau ASIM ingérées dans la table ASimNetworkSessionLogs correspondent aux indicateurs IPv4 s’ils sont renseignés dans un ou plusieurs des champs suivants : DstIpAddr, DstNatIpAddr, SrcNatIpAddr, SrcIpAddr, DvcIpAddr.

Triage d’un incident généré par l’analytique de correspondance

Si l’analytique de Microsoft trouve une correspondance, toutes les alertes générées sont regroupées dans des incidents.

Effectuez les étapes suivantes pour trier les incidents générés par la règle Microsoft Defender Threat Intelligence Analytics :

  1. Dans l’espace de travail Microsoft Sentinel dans lequel vous avez activé la règle Analytique Microsoft Defender Threat Intelligence, sélectionnez Incidents, puis recherchez Analytique Microsoft Defender Threat Intelligence.

    Tous les incidents trouvés apparaissent dans la grille.

  2. Sélectionnez Afficher tous les détails pour voir les entités et d’autres détails sur l’incident, tels que des alertes spécifiques.

    Voici un exemple.

    Capture d’écran de l’incident généré par l’analytique de correspondance avec le volet des détails.

  3. Observez la gravité attribuée aux alertes et à l’incident. Selon la mise en correspondance de l’indicateur, une gravité appropriée de Informational à High est attribuée à une alerte. Par exemple, si l’indicateur est mis en correspondance avec des journaux de pare-feu qui ont autorisé le trafic, une alerte de gravité élevée est générée. Si le même indicateur a été mis en correspondance avec des journaux de pare-feu qui ont bloqué le trafic, l’alerte générée est de gravité faible ou moyenne.

    Les alertes sont ensuite regroupées par aspect observable de l’indicateur. Par exemple, toutes les alertes générées sur une période de 24 heures qui correspondent au domaine contoso.com sont regroupées dans un seul incident avec une gravité attribuée selon la gravité d’alerte la plus élevée.

  4. Observez les informations de l’indicateur. Lorsqu’une correspondance est trouvée, l’indicateur est publié dans la table ThreatIntelligenceIndicators Log Analytics et apparaît dans la page Veille des menaces. Pour tous les indicateurs publiés à partir de cette règle, la source est définie comme Microsoft Defender Threat Intelligence Analytics.

Voici un exemple de la table ThreatIntelligenceIndicators.

Capture d’écran de la table ThreatIntelligenceIndicator montrant un indicateur avec SourceSystem d’Analytique Microsoft Threat Intelligence.

Voici un exemple de la page Threat Intelligence.

Capture d’écran de la vue d’ensemble de Threat Intelligence avec un indicateur sélectionné montrant comme source Analytique Microsoft Threat Intelligence.

Obtenir du contexte supplémentaire de Microsoft Defender Threat Intelligence

Outre les alertes et incidents de haute fidélité, certains indicateurs Microsoft Defender Threat Intelligence incluent un lien vers un article de référence dans le portail de la communauté Microsoft Defender Threat Intelligence.

Capture d’écran d’un incident avec un lien vers l’article de référence Microsoft Defender Threat Intelligence.

Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender Threat Intelligence ?.

Contenu connexe

Dans cet article, vous avez appris à connecter la veille des menaces générée par Microsoft pour générer des alertes et des incidents. Pour plus d’informations sur la veille des menaces dans Microsoft Sentinel, consultez les articles suivants :