Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft

Les alertes déclenchées dans des solutions de sécurité Microsoft qui sont connectées à Microsoft Sentinel, comme Microsoft Defender pour les applications cloud et Microsoft Defender pour Identity, ne créent pas automatiquement d’incidents dans Microsoft Sentinel. Par défaut, quand vous connectez une solution Microsoft à Microsoft Sentinel, toute alerte générée dans ce service sera stockée sous forme de données brutes dans Microsoft Sentinel, dans la table SecurityAlert de votre espace de travail Microsoft Sentinel. Vous pouvez ensuite utiliser ces données comme n’importe quelle autre donnée brute que vous intégrez dans Microsoft Sentinel.

Vous pouvez facilement configurer Microsoft Sentinel pour créer automatiquement des incidents chaque fois qu’une alerte est déclenchée dans une solution de sécurité Microsoft connectée en suivant les instructions mentionnées dans cet article.

Prérequis

Connectez votre solution de sécurité en installant la solution appropriée à partir du hub de contenu dans Microsoft Sentinel et en configurant le connecteur de données. Pour plus d’informations, voir Découvrir et gérer le contenu prêt à l’emploi de Microsoft Sentinel et Connecteurs de données Microsoft Sentinel.

Utilisation de règles d’analytique de création d’incidents de sécurité Microsoft

Utilisez les modèles de règles disponibles dans Microsoft Sentinel pour choisir les solutions de sécurité Microsoft connectées qui doivent créer automatiquement des incidents Microsoft Sentinel. Vous pouvez également modifier les règles afin de définir des options plus spécifiques pour le filtrage des alertes générées par la solution de sécurité Microsoft en vue de créer des incidents dans Microsoft Sentinel. Par exemple, vous pouvez choisir de créer automatiquement des incidents Microsoft Sentinel uniquement à partir d’alertes Microsoft Defender pour le cloud dont la gravité est élevée.

1. Dans le portail Azure, sous Microsoft Sentinel, sélectionnez Analyse.

2. Sélectionnez l’onglet Modèles de règles pour voir tous les modèles de règles d’analyse. Pour trouver d’autres modèles de règles, accédez au hub de contenu dans Microsoft Sentinel.

   

3. Choisissez le modèle de règle analytique Sécurité Microsoft que vous voulez utiliser, puis sélectionnez Créer une règle.

   

4. Vous pouvez modifier les détails de la règle et choisir de filtrer les alertes qui vont créer des incidents par niveau de gravité d’alerte ou sur le texte contenu dans le nom de l’alerte.

   Par exemple, si vous choisissez Microsoft Defender pour le cloud dans le champ Service de sécurité Microsoft et que vous choisissez Elevée dans le champ Filtrer par gravité, seules les alertes de sécurité dont le niveau de gravité est élevé créeront automatiquement des incidents dans Microsoft Sentinel.

   

5. Vous pouvez également créer une règle de sécurité Microsoft qui filtre les alertes de différents services de sécurité Microsoft en cliquant sur +Créer, puis en sélectionnant Règle de création d’incident Microsoft.

   

   Vous pouvez créer plusieurs règles d’analytique Microsoft Sécurité par type de service de sécurité Microsoft. Cela ne crée pas d’incidents en double, car chaque règle est utilisée comme filtre. Même si une alerte correspond à plusieurs règles d’analyse Sécurité Microsoft, elle crée un seul incident Microsoft Sentinel.

Activer la génération automatique d’incidents pendant la connexion

Quand vous connectez une solution de sécurité Microsoft, vous pouvez choisir si vous voulez que les alertes de la solution de sécurité génèrent automatiquement des incidents dans Microsoft Sentinel.

1. Connectez une source de données de solution de sécurité Microsoft.

   

2. Sous Créer des incidents, sélectionnez Activer pour activer la règle analytique par défaut qui crée automatiquement des incidents à partir des alertes générées dans le service de sécurité connecté. Vous pouvez ensuite modifier cette règle sous Analytique, puis Règles actives.

Étapes suivantes

• Pour utiliser Microsoft Sentinel, vous devez disposer d’un abonnement à Microsoft Azure. Si vous n’avez pas d’abonnement, vous pouvez vous inscrire à un essai gratuit.
• Découvrez comment intégrer vos données à Microsoft Sentinel et obtenir une visibilité de vos données et des menaces.