Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Le repérage des menaces nécessite généralement la vérification de montagnes de données de journal à la recherche de preuves de comportements malveillants. Pendant ce processus, les enquêteurs détectent des événements qu’ils souhaitent mémoriser, réexaminer et analyser afin de valider des hypothèses potentielles et de comprendre d’une compromission dans sa globalité.

Les signets de chasse dans Microsoft Sentinel vous seront d’une aide précieuse : ils conservent les requêtes que vous avez exécutées dans Microsoft Sentinel – Journaux d'activité ainsi que les résultats de requête que vous jugez pertinents. Vous pouvez également enregistrer vos observations contextuelles et référencer vos découvertes en ajoutant des balises et des notes. Les données avec signet sont visibles par vous et vos collègues pour faciliter la collaboration.

Vous pouvez désormais identifier et résoudre les lacunes dans la couverture des techniques MITRE ATT&CK, sur toutes les requêtes de chasse, en mappant vos requêtes personnalisées à des techniques MITRE ATT&CK.

Vous pouvez également examiner d’autres types d’entités lorsque vous utilisez des signets durant votre chasse, en mappant l’ensemble des types d’entités et des identificateurs pris en charge par l’analyse de Microsoft Sentinel dans vos requêtes personnalisées. Cela vous permet d’explorer les entités reprises dans les résultats de la requête de chasse en utilisant les pages d’entité, les incidents et le graphique d’examen. Si un signet capture les résultats d’une requête de chasse, il hérite automatiquement de la technique MITRE ATT&CK et des mappages d’entité de la requête.

Si vous trouvez quelque chose qui doit être résolu en urgence au cours de la recherche dans vos journaux, vous pouvez facilement créer un signet et le promouvoir en incident ou l’ajouter à un incident existant. Pour plus d’informations sur les incidents, consultez Examiner les incidents avec Microsoft Sentinel.

Si vous avez trouvé quelque chose qui vaut la peine de se voir affecter un signet, mais qui n’est pas absolument urgent, vous pouvez créer un signet et revisiter vos données de signet à tout moment sous l’onglet Signets du volet Chasse. Vous pouvez utiliser les options de filtrage et de recherche pour trouver rapidement des données spécifiques dans le cadre de l’examen en cours.

Vous pouvez visualiser vos données avec signet en cliquant sur Examiner dans les détails du signet. Cette opération lance l’expérience d’examen dans laquelle vous pouvez afficher, examiner et communiquer visuellement vos résultats à l’aide d’un diagramme d’entité-graphique interactif et d’une chronologie.

Vous pouvez également afficher vos données marquées d’un directement dans la table HuntingBookmark de votre espace de travail Log Analytics. Par exemple :

Capture d’écran de l’affichage du tableau des signets de chasse.

L’affichage des signets de la table vous permet de filtrer et de synthétiser les données marquées d’un signet, ainsi que de les joindre à d’autres sources de données, ce qui facilite la recherche de preuves pour la confirmation.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel sur le portail Microsoft Defender.

Ajouter un signet

Créez un signet pour conserver les requêtes, les résultats, vos observations et vos conclusions.

  1. Pour Microsoft Sentinel, sur le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
    Pour Microsoft Sentinel, sur le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Chasse.

  2. Sélectionnez l’une des requêtes de chasse.

  3. Dans les détails de la requête de chasse, sélectionnez Exécuter la requête.

  4. Sélectionnez Afficher les résultats de la requête. Par exemple :

    Capture d’écran de l’affichage des résultats de requête de la chasse Microsoft Sentinel.

    Cette action ouvre les résultats de la requête dans le volet Journaux.

  5. Dans la liste des résultats de la requête de journal, utilisez les cases à cocher pour sélectionner une ou plusieurs lignes contenant des informations que vous trouvez intéressantes.

  6. Sélectionnez Ajouter un signet :

    Capture d’écran de l’ajout d’un signet de chasse à la requête.

  7. À droite, dans le volet Ajouter un signet, vous pouvez mettre à jour le nom du signet et ajouter des balises et des notes pour identifier facilement les informations intéressantes à propos de l’élément.

  8. Les signets peuvent éventuellement être mappés à des techniques ou des sous-techniques MITRE ATT&CK. Les mappages MITRE ATT&CK sont hérités des valeurs mappées dans les requêtes de chasse, mais vous pouvez également les créer manuellement. Sélectionnez la tactique MITRE ATT&CK associée à la technique souhaitée dans le menu déroulant de la section Tactiques & techniques du volet Ajouter un signet. Le menu se développe pour afficher toutes les techniques MITRE ATT&CK, et vous pouvez sélectionner plusieurs techniques et sous-techniques dans ce menu.

    Capture d’écran montrant comment mapper des tactiques et des techniques Mitre Attack à des signets.

  9. Désormais, un ensemble étendu d’entités peut être extrait des résultats de la requête avec signet pour une investigation plus poussée. Dans la sectionMappage d’entités, utilisez les listes déroulantes pour sélectionner les types d’entités et les identificateurs. Mappez ensuite la colonne dans les résultats de la requête contenant l’identificateur correspondant. Par exemple :

    Capture d’écran du mappage de types d’entité pour les signets de chasse.

    Pour afficher le signet dans le graphe d’investigation, vous devez mapper au moins une entité. Les mappages d’entités aux types d’entité Compte, Hôte, Adresse IP et URL que vous avez créés précédemment sont pris en charge, ce qui permet de préserver la compatibilité descendante.

  10. Cliquez sur Enregistrer pour valider vos modifications et ajouter le signet. Toutes les données avec signet sont partagées avec d’autres analystes, et constituent une première étape vers une expérience d’investigation collaborative.

Les résultats de la requête de journal prennent en charge les signets chaque fois que ce volet est ouvert à partir de Microsoft Sentinel. Par exemple, vous sélectionnez Général>Journaux dans la barre de navigation, sélectionnez les liens d’événements dans le graphe d'examen ou sélectionnez un ID d’alerte dans les détails complets d’un incident. Vous ne pouvez pas créer de signets lorsque le volet Journaux est ouvert à partir d’autres emplacements, par exemple directement depuis Azure Monitor.

Afficher et mettre à jour des signets

Recherchez et mettez à jour un signet à partir de l’onglet Signet.

  1. Pour Microsoft Sentinel, sur le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
    Pour Microsoft Sentinel, sur le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Chasse.

  2. Sélectionnez l’onglet Signets pour afficher la liste des signets.

  3. Recherchez ou filtrez pour trouver un ou des signet(s) spécifique(s).

  4. Sélectionnez des signets individuels pour consulter les détails du signet dans le volet à droite.

  5. Apportez les modifications nécessaires. Vos modifications sont automatiquement enregistrées.

Exploration des signets dans le graphe d’examen

Consultez vos données avec signet en lançant l’expérience d’examen dans laquelle vous pouvez afficher, examiner et communiquer visuellement vos conclusions à l’aide d’un diagramme d’entité interactif et d’une chronologie.

  1. Sous l’onglet Signets , sélectionnez le(s) signet(s) que vous souhaitez examiner.

  2. Dans les détails du signet, assurez-vous qu’au moins une entité est mappée.

  3. Sélectionnez Examiner pour afficher le signet dans le graphe d’investigation.

Pour savoir comment utiliser le graphe d’examen, consultez Utiliser le graphe d’examen pour approfondir les recherches.

Ajouter des signets à un incident nouveau ou existant

Ajoutez des signets à un incident depuis l’onglet Signets de la page Chasse.

  1. Sous l’onglet Signets , sélectionnez le(s) signet(s) que vous souhaitez ajouter à un incident.

  2. Sélectionnez Actions d’incident dans la barre de commandes :

    Capture d’écran de l’ajout de signets à un incident.

  3. Sélectionnez Créer un incident ou Ajouter à un incident existant, selon le cas. Ensuite :

    • Pour un nouvel incident : Vous pouvez également mettre à jour les détails de l'incident, puis sélectionner Créer.
    • Pour ajouter un signet à un incident existant : Sélectionnez un incident, puis Ajouter.

En guise d’alternative à l’option Actions d’incident dans la barre de commandes, vous pouvez utiliser le menu contextuel ( ... ) pour un ou plusieurs signets afin de sélectionner des options pour Créer un incident, Ajouter à un incident existant et Supprimer de l’incident.

Pour afficher le signet dans l’incident, accédez à Microsoft Sentinel>Gestion des menaces>Incidents, puis sélectionnez l’incident avec votre signet. Sélectionnez Afficher les détails, puis l'onglet Signets.

Afficher les données avec signet dans les journaux

Consultez les requêtes, les résultats ou leur historique par signet.

  1. Sélectionnez le signet sous l’onglet Signets> de chasse.

  2. Sélectionnez les liens fournis dans le volet d’informations :

    • Utilisez Afficher la requête source pour afficher la requête source dans le volet Journaux.

    • Afficher les journaux des signets pour afficher toutes les métadonnées du signet, notamment l’auteur de la mise à jour, les valeurs mises à jour et l’heure de la mise à jour.

  3. Consultez les données de signets brutes pour tous les signets en sélectionnant Journaux des signets dans la barre de commandes de l'onglet Signets>de chasse :

    Capture d’écran de la commande des journaux de signets.

Cet affichage montre tous vos signets avec les métadonnées associées. Vous pouvez utiliser des requêtes Langage de requête Kusto (KQL) pour filtrer jusqu’à la dernière version du signet spécifique que vous recherchez.

Il peut y avoir un retard important (exprimé en minutes) entre la création d’un signet et le moment où il apparaît dans l'onglet Signets.

Supprimer un signet

La suppression du signet supprime le signet de la liste dans l’onglet Signet. Le tableau Signets de chasse pour votre espace de travail Log Analytics contient toujours les précédentes entrées de signet, mais la dernière entrée transforme la valeur SoftDelete en données actuelles, ce qui vous permet de filtrer aisément les anciens signets. La suppression d’un signet ne supprime aucune entité de l’expérience d’examen qui est associée à d’autres alertes ou signets.

Pour supprimer un signet, procédez comme suit.

  1. Sous l’onglet Signets>de chasse, sélectionnez le(s) signet(s) que vous souhaitez supprimer.

  2. Cliquez avec le bouton droit, puis sélectionnez l’option permettant de supprimer les signets sélectionnés.

Contenu connexe

Dans cet article, vous avez appris à exécuter un examen de repérage à l’aide de signets dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :