Comprendre le renseignement sur les menaces dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel est une solution SIEM (Security Information and Event Management) native dans le cloud, avec la possibilité d’extraire rapidement des renseignements sur les menaces à partir de nombreuses sources.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Introduction au renseignement sur les menaces

Le renseignement sur les cybermenaces (CTI, Cyber Threat Intelligence) est constitué d’informations qui décrivent des menaces existantes ou potentielles pour les systèmes et les utilisateurs. Cet intelligence prend de nombreuses formes, depuis des rapports écrits détaillant les motivations, l’infrastructure et les techniques d’un auteur de menace particulier jusqu’à des observations spécifiques d’adresses IP, de domaines, de hachages de fichier et d’autres artefacts associés à des cybermenaces connues. Les organisations utilisent le renseignement sur les cybermenaces pour fournir un contexte essentiel à une activité inhabituelle, afin que le personnel de sécurité puisse prendre rapidement des mesures pour protéger leurs collaborateurs, informations et ressources. Le renseignement sur les cybermenaces peut provenir de plusieurs emplacements, comme des communautés de partage de renseignements sur les menaces, des flux de renseignements commerciaux et des renseignements recueillis au niveau local, le tout collecté au cours d’enquêtes de sécurité au sein d’une organisation.

Pour les solutions SIEM telles que Microsoft Sentinel, les formes les plus courantes de CTI sont des indicateurs de menace, également appelés indicateurs de compromission (IoC) ou indicateurs d’attaque (IoA). Les indicateurs de menace sont des données qui associent des artefacts observés comme des URL, des hachages de fichier ou des adresses IP, à une activité de menace connue comme le hameçonnage, les botnets ou les programmes malveillants. Cette forme de renseignement sur les menaces est souvent appelée renseignement tactique sur les menaces, car elle est appliquée à des produits de sécurité et à l’automatisation à grande échelle. Elle permet également de détecter les menaces potentielles auxquelles une organisation est exposée et de la protéger contre celles-ci. Utilisez des indicateurs de menace dans Microsoft Sentinel pour détecter les activités malveillantes observées dans votre environnement et fournir un contexte aux enquêteurs sur la sécurité afin d’éclairer leurs décisions.

Intégrez le renseignement sur les menaces à Microsoft Sentinel par le biais des activités suivantes :

  • Importez le renseignement sur les menaces dans Microsoft Sentinel en activant des connecteurs de données sur différentes plateformes et différents flux de renseignement sur les menaces.

  • Affichez et gérez le renseignement sur les menaces importé dans Journaux et dans le panneau Renseignement sur les menaces de Microsoft Sentinel.

  • Détectez les menaces et générez des alertes et des incidents de sécurité à l’aide des modèles de règle d’analytique intégrés basés sur le renseignement sur les menaces importé.

  • Visualisez les informations essentielles concernant le renseignement sur les menaces importé dans Microsoft Sentinel à l’aide du classeur Renseignement sur les menaces.

Microsoft enrichit tous les indicateurs du renseignement sur les menaces importés avec des données de géolocalisation et WhoIs, qui sont affichées avec d’autres détails d’indicateur.

Le renseignement sur les menaces fournit également un contexte utile dans d’autres expériences Microsoft Sentinel, telles que la chasse et les notebooks. Pour plus d’informations, consultez Notebooks Jupyter dans Microsoft Sentinel et Tutoriel : Prise en main des notebooks Jupyter et de MSTICPy dans Microsoft Sentinel.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Importer le renseignement sur les menaces avec des connecteurs de données

Comme toutes les autres données d’événement dans Microsoft Sentinel, les indicateurs de menace sont importés à l’aide de connecteurs de données. Voici les connecteurs de données dans Microsoft Sentinel spécifiquement conçus comme indicateurs de menace.

  • Connecteur de données de veille des menaces Microsoft Defender pour ingérer les indicateurs de menace de Microsoft
  • Veille des menaces : TAXII pour les flux STIX/TAXII standard et
  • API d’indicateurs de chargement de renseignement sur les menaces pour les flux TI intégrés et organisés à l’aide d’une API REST pour se connecter
  • Le connecteur de données Threat Intelligence Platform connecte également les flux TI à l’aide d’une API REST, mais se trouve sur le chemin d’accès pour la dépréciation

Utilisez l'un de ces connecteurs de données dans la combinaison de votre choix, en fonction de la source des indicateurs de menaces de votre organisation. Ces trois éléments sont disponibles dans le hub de contenu dans le cadre de la solution Veille des menaces. Si vous souhaitez en savoir plus concernant cette solution, veuillez consulter l’entrée Place de marché Azure Veille des menaces.

Consultez le catalogue des intégrations du renseignement sur les menaces disponible avec Microsoft Sentinel.

Ajoutez des indicateurs de menace à Microsoft Sentinel avec le connecteur de données de veille des menaces Microsoft Sentinel

Importez des indicateurs de compromission de haute fidélité (IOC) générés par Microsoft Defender Threat Intelligence (MDTI) dans votre espace de travail Microsoft Sentinel. Le connecteur de données MDTI ingère ces IOC avec une configuration simple en un clic. Ensuite, surveillez, alertez et traquez en fonction de la veille des menaces, et de la même façon que vous utilisez d’autres flux.

Si vous souhaitez en savoir plus concernant le connecteur de données MDTI, veuillez consulter Activer le connecteur de données MDTI.

Ajouter des indicateurs de menace à Microsoft Sentinel avec le connecteur de données API d’indicateurs de chargement de renseignement sur les menaces

Beaucoup d’organisations utilisent des solutions de plateforme de renseignement sur les menaces (TIP) pour agréger les flux d’indicateurs de menaces issus de différentes sources. À partir du flux agrégé, les données sont organisées pour s’appliquer aux différentes solutions de sécurité, comme les appareils réseau, les solutions EDR/XDR ou les solutions SIEM (Microsoft Sentinel, par exemple). Le connecteur de données API d’indicateurs de chargement de renseignement sur les menaces vous permet d’utiliser ces solutions pour importer des indicateurs de menace dans Microsoft Sentinel.

Diagramme montrant le chemin d'importation API d’indicateurs de chargement.

Ce connecteur de données utilise une nouvelle API et offre les améliorations suivantes :

  • Les champs d’indicateur de menace sont basés sur le format standardisé STIX.
  • L’application Microsoft Entra nécessite uniquement le rôle Contributeur Microsoft Sentinel.
  • Le point de terminaison de demande d’API est limité au niveau de l’espace de travail et les autorisations d’application Microsoft Entra requises autorisent l’attribution granulaire au niveau de l’espace de travail.

Pour plus d’informations, consultez Connecter votre plateforme de renseignement sur les menaces en utilisant l’API indicateurs chargement

Ajouter des indicateurs de menace à Microsoft Sentinel avec le connecteur de données Plateformes de renseignement sur les menaces

Tout comme le connecteur de données d’API d’indicateurs de chargement existant, le connecteur de données Threat Intelligence Platform utilise une API permettant à votre tip ou à votre solution personnalisée d’envoyer des indicateurs dans Microsoft Sentinel. Toutefois, ce connecteur de données est maintenant sur un chemin d’accès pour la dépréciation. Nous recommandons de nouvelles solutions pour tirer parti des optimisations que l’API des indicateurs de chargement a à offrir.

Le connecteur de données TIP fonctionne avec l’API tiIndicators de sécurité Microsoft Graph. Il peut également être utilisé par n’importe quelle plateforme personnalisée de renseignement sur les menaces qui communique avec l’API tiIndicators pour envoyer des indicateurs à Microsoft Sentinel (et à d’autres solutions de sécurité Microsoft comme Microsoft Defender XDR).

Capture d’écran montrant le chemin d’importation du renseignement sur les menaces

Pour plus d’informations sur les solutions de plateformes de renseignement sur les menaces intégrées à Microsoft Sentinel, consultez Plateformes intégrées de renseignement sur les menaces. Pour plus d’informations, consultez Connecter votre plateforme de renseignement sur les menaces à Microsoft Sentinel.

Ajouter des indicateurs de menace à Microsoft Sentinel avec le connecteur de données Threat Intelligence – TAXII

La norme du secteur la plus largement adoptée pour la transmission du renseignement sur les menaces est une combinaison du format de données STIX et du protocole TAXII. Si votre organisation obtient des indicateurs de menace de solutions prenant en charge la version actuelle de STIX/TAXII (2.0 ou 2.1), utilisez le connecteur de données Threat Intelligence – TAXII pour introduire vos indicateurs de menace dans Microsoft Sentinel. Le connecteur de données Threat Intelligence – TAXII permet à un client TAXII intégré dans Microsoft Sentinel d’importer le renseignement sur les menaces à partir de serveurs TAXII 2.x.

Chemin d’importation de TAXII

Pour importer des indicateurs de menace au format STIX dans Microsoft Sentinel à partir d’un serveur TAXII :

  1. Obtenir la racine d’API et l’ID de collection du serveur TAXII

  2. Pour activer le connecteur de données Threat Intelligence – TAXII dans Microsoft Sentinel

Pour plus d’informations, consultez Connecter Microsoft Sentinel aux flux de renseignement sur les menaces STIX/TAXII.

Afficher et gérer vos indicateurs de menace

Affichez et gérez vos indicateurs dans la page Renseignement sur les menaces. Triez et filtrez vos indicateurs de menace importés, et effectuez des recherches, sans même écrire de requête Log Analytics. Cette fonctionnalité vous permet également de créer des indicateurs de menace directement dans l’interface de Microsoft Sentinel, ainsi que d’effectuer deux des tâches d’administration les plus courantes concernant le renseignement sur les menaces : l’étiquetage des indicateurs et la création d’indicateurs liés aux investigations de sécurité.

L’étiquetage des indicateurs de menace est un moyen simple de les regrouper pour faciliter leur recherche. En général, vous pouvez appliquer une étiquette à des indicateurs liés à un incident spécifique ou à ceux représentant les menaces provenant d’un auteur connu particulier ou d’une campagne d’attaque bien connue. Étiquetez les indicateurs de menace individuellement, ou sélectionnez plusieurs indicateurs et les étiqueter tous en même temps. Voici un exemple montrant l’étiquetage de plusieurs indicateurs avec un ID d’incident. Étant donné que l’étiquetage est de forme libre, il est recommandé de créer des conventions de nommage standard pour les étiquettes d’indicateur de menace. Les indicateurs permettent d’appliquer plusieurs balises.

Appliquer des étiquettes à des indicateurs de menace

Validez vos indicateurs et affichez vos indicateurs de menace importés avec succès à partir de l’espace de travail analytique des journaux d'activité activé par Microsoft Sentinel. La table ThreatIntelligenceIndicator sous le schéma Microsoft Sentinel est l’emplacement où tous vos indicateurs de menace Microsoft Sentinel sont stockés. Cette table est la base des requêtes de renseignement sur les menaces effectuées par d’autres fonctionnalités de Microsoft Sentinel, telles que les analyses et les classeurs.

Voici un exemple d’affichage de requête de base pour les indicateurs de menace.

Capture d'écran illustrant la page des journaux avec un exemple de requête de la table ThreatIntelligenceIndicator.

Les indicateurs TI sont ingérés dans la table ThreatIntelligenceIndicator de votre espace de travail Log Analytics en lecture seule. Chaque fois qu’un indicateur est mis à jour, une nouvelle entrée dans la table ThreatIntelligenceIndicator est créée. Toutefois, seul l’indicateur le plus actuel s’affiche dans la page Veille des menaces. Microsoft Sentinel déduplique les indicateurs en fonction des propriétés IndicatorId et SourceSystem et choisit l’indicateur avec le plus récent TimeGenerated[UTC].

La propriété IndicatorId est générée à l’aide de l’ID d’indicateur STIX. Lorsque des indicateurs sont importés ou créés à partir de sources autres que STIX, l’IndicateurId est généré par la source et le modèle de l’indicateur.

Pour plus d’informations sur l’affichage et la gestion de vos indicateurs de menace, consultez Utiliser des indicateurs de menace dans Microsoft Sentinel.

Voir vos enrichissements de données de géolocalisation et WhoIs (préversion publique)

Microsoft enrichit les indicateurs IP et domaine avec des données de géolocalisation et WhoIs supplémentaires, fournissant davantage de contexte pour les investigations dans lesquelles l’indicateur de compromission (IOC) sélectionné est trouvé.

Vous pouvez voir les données de géolocalisation et les données WhoIs dans le volet Renseignement sur les menaces pour les types d’indicateur de menace importés dans Microsoft Sentinel.

Par exemple, utilisez les données de géolocalisation pour rechercher des détails tels que l’organisation ou le pays associé à un indicateur IP, et les données Whols pour rechercher des données telles sur le bureau d’enregistrement et des données de la création d’enregistrements à partir de l’indicateur de domaine.

Détecter les menaces avec l’analytique des indicateurs de menace

Le cas d’usage le plus important pour les indicateurs de menace dans les solutions SIEM comme Microsoft Sentinel consiste à fournir des règles d’analyse dans le cadre de la détection des menaces. Ces règles basées sur les indicateurs comparent les événements bruts provenant de vos sources de données avec vos indicateurs de menace pour détecter les menaces de sécurité qui pèsent sur votre organisation. Dans Analyse de Microsoft Sentinel, vous créez des règles d’analyse qui s’exécutent selon une planification et qui génèrent des alertes de sécurité. Les règles sont pilotées par des requêtes ainsi que par des configurations qui déterminent la fréquence à laquelle la règle doit s’exécuter, le type de résultats de requête qui doivent générer des alertes et incidents de sécurité et, éventuellement, déclencher une réponse automatisée.

Même si vous pouvez toujours créer des règles d’analyse à partir de zéro, Microsoft Sentinel fournit un ensemble de modèles de règle intégrés, créé par des ingénieurs en sécurité de Microsoft, pour tirer parti de vos indicateurs de menace. Ces modèles de règles intégrés sont basés sur le type d’indicateurs de menace (domaine, e-mail, hachage de fichier, adresse IP ou URL) et les événements de source de données que vous souhaitez faire correspondre. Chaque modèle répertorie les sources nécessaires au fonctionnement de la règle. Cela permet de déterminer facilement si les événements nécessaires sont déjà importés dans Microsoft Sentinel.

Par défaut, lorsque ces règles intégrées sont déclenchées, une alerte est créée. Dans Microsoft Sentinel, les alertes générées à partir des règles d’analyse génèrent également des incidents de sécurité qui se trouvent dans Incidents sous Gestion des menaces dans le menu de Microsoft Sentinel. Les incidents sont ce que vos équipes chargées des opérations de sécurité trient et examinent pour déterminer les actions de réponse appropriées. Vous trouverez des informations détaillées dans le tutoriel : Examiner les incidents avec Microsoft Sentinel.

Pour plus d’informations sur l’utilisation d’indicateurs de menace dans vos règles d’analyse, consultez Utiliser le renseignement sur les menaces pour détecter les menaces.

Microsoft fournit l’accès à ses informations sur les menaces via la règle Analyse de la veille des menaces Microsoft Defender. Pour plus d’informations sur la façon de tirer parti de cette règle qui génère des alertes et des incidents de haute fidélité, consultez Utiliser l’analytique de correspondance pour détecter les menaces

Capture d’écran qui montre un incident haute fidélité généré par la mise en correspondance des analyses avec des informations contextuelles supplémentaires provenant de MDTI.

Les classeurs fournissent des insights concernant le renseignement sur les menaces

Les classeurs fournissent des tableaux de bord interactifs puissants qui vous donnent des insights sur tous les aspects de Microsoft Sentinel, et le renseignement sur les menaces ne fait pas exception. Utilisez le workbook Threat Intelligence intégré pour visualiser des informations essentielles concernant le renseignement sur les menaces et facilement personnaliser le workbook en fonction des besoins de votre entreprise. Créez des tableaux de bord qui associent de nombreuses sources de données pour visualiser vos données de manière unique. Étant donné que les classeurs Microsoft Sentinel sont basés sur les classeurs Azure Monitor, une documentation complète et de nombreux autres modèles sont déjà disponibles. Cet article est idéal pour découvrir comment Créer des rapports interactifs avec les classeurs Azure Monitor.

Il existe également une vaste communauté de classeurs Azure Monitor sur GitHub pour télécharger des modèles supplémentaires et partager vos propres modèles.

Pour plus d’informations sur l’utilisation et la personnalisation du classeur Renseignement sur les menaces, consultez Utiliser des indicateurs de menace dans Microsoft Sentinel.

Étapes suivantes

Dans ce document, vous avez découvert les capacités de renseignement sur les menaces de Microsoft Sentinel, notamment le panneau Renseignement sur les menaces. Pour obtenir des conseils pratiques sur l’utilisation des capacités de renseignement sur les menaces de Microsoft Sentinel, consultez les articles suivants :