Partage via


Ajouter d’entités au renseignement sur les menaces dans Microsoft Sentinel

Quand vous inspectez un incident, vous examinez les entités et leur contexte comme étant une partie importante de la compréhension de l’étendue et de la nature de l’incident. Lorsque vous découvrez une entité comme un nom de domaine malveillant, une URL, un fichier ou une adresse IP dans l’incident, elle doit être étiquetée et suivie comme indicateur de compromission (IOC) dans votre renseignement sur les menaces.

Par exemple, vous pouvez découvrir une adresse IP qui effectue des analyses de port sur votre réseau ou fonctionne en tant que nœud de commande et contrôle en envoyant et/ou en recevant des transmissions à partir d’un grand nombre de nœuds dans votre réseau.

Avec Microsoft Sentinel, vous pouvez marquer ces types d’entités dans votre enquête sur les incidents et les ajouter à votre veille des menaces. Vous pouvez afficher les indicateurs ajoutés dans Journaux et Veille des menaces et les utiliser dans votre espace de travail Microsoft Sentinel.

Ajoutez une entité à votre renseignement sur les menaces

La page Détails de l’incident et le graphique d’enquête vous offrent deux façons d’ajouter des entités à la veille des menaces.

  1. Dans le menu Microsoft Sentinel, sélectionnez Incidents dans la section Gestion des menaces.

  2. Sélectionnez un incident à investiguer. Dans le volet Détails de l’incident, sélectionnez Afficher les détails complets pour ouvrir la page Détails de l’incident.

  3. Dans le volet Entités, recherchez l’entité à ajouter comme indicateur de menace. (Vous pouvez filtrer la liste ou entrer une chaîne de recherche pour vous aider à la localiser.)

    Capture d’écran montrant la page Détails de l’incident.

  4. Sélectionnez les trois points à droite de l'entité, puis sélectionnez Ajouter à TI dans le menu contextuel.

    Ajoutez uniquement les types d’entités suivants en tant qu’indicateurs de menace :

    • Nom de domaine
    • Adresse IP (IPv4 et IPv6)
    • URL
    • Fichier (hachage)

    Capture d’écran montrant l’ajout d’une entité à la veille des menaces.

Quelle que soit l’interface que vous choisissez, vous vous retrouvez ici.

  1. Le panneau latéral Nouvel indicateur s’ouvre. Les champs suivants sont renseignés automatiquement :

    • Types

      • Type d’indicateur représenté par l’entité que vous ajoutez.
        • Liste déroulante avec les valeurs possibles : ipv4-addr, ipv6-addr, URL, file et domain-name.
      • Obligatoire. Renseigné automatiquement en fonction du type d’entité.
    • Valeur

      • Le nom de ce champ passe dynamiquement au type d’indicateur sélectionné.
      • Valeur de l’indicateur lui-même.
      • Obligatoire. Renseigné automatiquement par la valeur d’entité.
    • Balises

      • Étiquettes de texte libre que vous pouvez ajouter à l’indicateur.
      • facultatif. Renseigné automatiquement par l’ID d’incident. Vous pouvez également en ajouter d’autres.
    • Nom

      • Nom de l’indicateur. Ce nom apparaît dans votre liste d’indicateurs.
      • facultatif. Renseigné automatiquement par le nom de l’incident.
    • Créé par

      • Créateur de l’indicateur.
      • facultatif. Renseigné automatiquement par l’utilisateur connecté à Microsoft Sentinel.

    Remplissez les champs restants en conséquence.

    • Types de menaces

      • Type de menace représenté par l’indicateur.
      • facultatif. Texte libre.
    • Description

      • Description de l’indicateur.
      • facultatif. Texte libre.
    • Révoqué

      • État révoqué de l’indicateur. Cochez la case pour révoquer l’indicateur. Décochez la case pour l’activer.
      • facultatif. Boolean.
    • Confiance

      • Score qui reflète la confiance dans l’exactitude des données, en pourcentage.
      • facultatif. Entier, 1-100.
    • Chaînes de suppression

    • Valide à partir du

      • Heure à partir de laquelle cet indicateur est considéré comme valide.
      • Obligatoire. Date/heure.
    • Valide jusqu’au :

      • Heure après laquelle cet indicateur ne doit plus être considéré comme valide.
      • facultatif. Date/heure.

    Capture d’écran montrant l’entrée d’informations dans le volet du nouvel indicateur de menace.

  2. Lorsque tous les champs sont remplis à votre satisfaction, sélectionnez Appliquer. Un message s’affiche dans le coin supérieur droit pour confirmer la création de votre indicateur.

  3. L’entité est ajoutée en tant qu’indicateur de menace dans votre espace de travail. Elle est disponible dans la liste des indicateurs de la page Veille des menaces. Vous pouvez également la trouver dans le tableau ThreatIntelligenceIndicators, dans Journaux.

Dans cet article, vous avez appris à ajouter des entités à vos listes d’indicateurs de menace. Pour plus d’informations, consultez les articles suivants :