Détecter les menaces à l’aide du stream en direct de chasse dans Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Utilisez le livestream de chasse pour créer des sessions interactives dans lesquelles vous pouvez tester les nouvelles requêtes créées à mesure que des événements se produisent, recevoir les notifications des sessions quand une correspondance est trouvée et lancer des investigations si nécessaire. Vous pouvez créer rapidement une session de livestream à l’aide d’une requête Log Analytics.

• Tester les nouvelles requêtes créées à mesure que des événements se produisent

  Vous pouvez tester et modifier des requêtes sans que cela provoque des conflits avec des règles actuelles qui sont activement appliquées aux événements. Une fois que vous avez vérifié que ces nouvelles requêtes fonctionnent comme prévu, vous pouvez facilement les promouvoir en règles d’alerte personnalisées, simplement en sélectionnant une option qui élève la session au niveau d’alerte.

• Recevoir une notification en présence de menaces

  Vous pouvez comparer les flux de données de menace aux données de journal agrégées et être averti quand une correspondance est établie. Les flux de données de menace sont des flux continus de données qui ont trait à des menaces potentielles ou actuelles. La notification peut donc indiquer une menace potentielle pour votre organisation. Créez une session de stream en direct à la place d’une règle d’alerte personnalisée pour être averti d’un problème potentiel sans pour autant consacrer du temps à la gestion d’une règle d’alerte personnalisée.

• Lancer des investigations

  Si une investigation active existe déjà pour une ressource telle qu’un hôte ou un utilisateur, examinez une activité spécifique (ou toutes les activités) dans les données de journal à mesure que l’activité est effectuée sur cette ressource. Recevez une notification quand cette activité se produit.

Important

Microsoft Sentinel est disponible comme partie de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Créer une session de livestream

Vous pouvez créer une session de livestream à partir d’une requête de chasse existante ou en créer une intégralement.

1. Pour Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
   Pour Microsoft Sentinel, dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Chasse.

2. Pour créer une session de livestream à partir d’une requête de chasse :

   1. Sous l’onglet Requêtes, recherchez la requête de chasse à utiliser.
   2. Cliquez avec le bouton droit sur la requête et sélectionnez Ajouter à livestream. Par exemple :

   

3. Pour créer une session de livestream depuis le début :

   1. Sélectionnez l’onglet Stream en direct.
   2. Cliquez sur + Nouveau stream en direct.

4. Dans le volet Flux temps réel :

   • Si vous avez démarré une session de livestream à partir d’une requête existante, examinez la requête et apportez-y les éventuelles modifications souhaitées.
   • Si vous avez créé une session de livestream depuis le début, créez votre requête.

   Livestream prend en charge les requêtes inter-ressources des données dans Azure Data Explorer. En savoir plus sur les requêtes inter-ressources.

5. Dans la barre de commandes, sélectionnez Lecture.

   La barre d’état, sous la barre de commandes, indique si votre session de livestream est active ou suspendue. Dans l’exemple suivant, la session est active :

   

6. Dans la barre de commandes, sélectionnez Enregistrer.

   Sauf si vous sélectionnez Suspendre, la session reste active jusqu’à ce que vous vous déconnectiez du Portail Azure.

Afficher vos sessions de livestream

1. Pour Microsoft Sentinel, dans le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
   Pour Microsoft Sentinel, dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Chasse.

2. Sélectionnez l’onglet Stream en direct.

3. Sélectionnez la session de livestream que vous souhaitez voir ou modifier. Par exemple :

   

   La session de livestream sélectionnée s’ouvre. Vous pouvez ensuite la lire, la mettre en pause, la modifier, etc.

Recevoir des notifications quand de nouveaux événements se produisent

Étant donné que les notifications de livestream pour les nouveaux événements utilisent les notifications du portail Azure, vous voyez toujours ces notifications dans le portail Azure. Par exemple :

Sélectionnez la notification pour ouvrir le volet Flux temps réel.

Élever une session de livestream au niveau d’alerte

Faites la promotion d’une session de stream en direct au niveau d’une nouvelle alerte en sélectionnant Élever au niveau d’alerte dans la barre de commandes de la session de stream en direct correspondante :

Cette action ouvre l’Assistant Création de règle, qui est prérempli avec la requête associée à la session de livestream.

Étapes suivantes

Dans cet article, vous avez appris à utiliser le livestream de chasse dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Hunt for threats with in Azure Sentinel Preview (Rechercher des menaces dans Azure Sentinel en préversion)
• Use notebooks to run automated hunting campaigns (Utiliser des notebooks pour exécuter des campagnes de repérage automatisées)