Utiliser des indicateurs de menace dans les règles d’analytique

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Alimentez vos règles d’analytique avec vos indicateurs de menace pour générer automatiquement des alertes en fonction de la veille des menaces que vous avez intégrée.

Prérequis

• Indicateurs de menace. Il peut s’agir de flux de veille des menaces, de plateformes de veille des menaces, d’importation en bloc à partir d’un fichier plat ou d’une entrée manuelle.

• Sources de données. Les événements de vos connecteurs de données doivent être transmis à votre espace de travail Sentinel.

• Règle d’analytique du format « TI map... » qui peut mapper les indicateurs de menace que vous avez avec les événements que vous avez ingérés.

Configurer une règle pour générer des alertes de sécurité

Vous trouverez ci-dessous un exemple montrant comment activer et configurer une règle pour générer des alertes de sécurité à l’aide des indicateurs de menace que vous avez importés dans Microsoft Sentinel. Pour cet exemple, utilisez le modèle de règle nommé TI map IP entity to AzureActivity. Cette règle fait correspondre n’importe quel indicateur de menace de type adresse IP à tous vos événements d’activité Azure. Quand une correspondance est trouvée, une alerte est générée, ainsi qu’un incident correspondant, pour que votre équipe en charge des opérations de sécurité investigue. Cette règle d’analytique en particulier nécessite le connecteur de données Azure Activity (pour importer vos événements de niveau abonnement Azure) et l’un ou les deux connecteurs de données Threat Intelligence (pour importer les indicateurs de menace). Cette règle se déclenche également à partir d’indicateurs importés ou créés manuellement.

1. Depuis le portail Azure, accédez au service Microsoft Sentinel.

2. Choisissez l’espace de travail dans lequel vous avez importé des indicateurs de menace à l’aide des connecteurs de données Threat Intelligence et les données d’activité Azure à l’aide du connecteur de données Azure Activity.

3. Sélectionnez Analytique dans la section Configuration du menu Microsoft Sentinel.

4. Sélectionnez l’onglet Modèles de règle pour voir la liste des modèles de règle d’analytique disponibles.

5. Recherchez la règle intitulée TI map IP entity to AzureActivity, puis vérifiez que vous avez connecté toutes les sources de données nécessaires comme ci-dessous.

   

6. Sélectionnez la règle TI map IP entity to AzureActivity (entité IP de carte de renseignement sur les menaces sur AzureActivity), puis sélectionnez Créer une règle pour ouvrir l’Assistant Configuration de la règle. Configurez les paramètres de l’Assistant, puis sélectionnez Suivant : Définir la logique de la règle >.

   

7. La partie logique de règle de l’Assistant contient les éléments suivants :

   • La requête qui sera utilisée dans la règle.

   • Les mappages d’entité indiquent à Microsoft Sentinel comment reconnaître des entités comme les comptes, les adresses IP et les URL, afin que les incidents et les enquêtes comprennent comment utiliser les données se trouvant dans toute alerte de sécurité générée par cette règle.

   • La planification de l’exécution de cette règle.

   • Le nombre de résultats de requête nécessaires avant qu’une alerte de sécurité soit générée.

   Les paramètres par défaut du modèle sont les suivants :

   • Exécuter une fois par heure.

   • Faire correspondre tous les indicateurs de menace d’adresse IP de la table ThreatIntelligenceIndicator avec toute adresse IP trouvée au cours de la dernière heure d’événements de la table AzureActivity.

   • Générer une alerte de sécurité si les résultats de requête sont supérieurs à zéro, c’est-à-dire si des correspondances sont trouvées.

   • La règle est activée.

   Vous pouvez conserver les paramètres par défaut ou les modifier en fonction de vos besoins, et définir des paramètres de génération d’incident sous l’onglet Paramètres d’incident. Pour plus d’informations, consultez Créer des règles d’analytique personnalisées pour détecter des menaces. Lorsque vous avez terminé, sélectionnez l’onglet Automated response (Réponse automatique).

8. Configurez une automatisation que vous souhaitez déclencher à la génération d’une alerte de sécurité à partir de cette règle d’analyse. Dans Microsoft Sentinel, l’automatisation est effectuée à l’aide de règles d’automatisation et de playbooks optimisés par Azure Logic Apps. Pour plus d’informations, consultez Didacticiel : Utiliser des playbooks avec des règles d’automatisation dans Microsoft Sentinel. Lorsque vous avez fini, sélectionnez le bouton Suivant : Révision > pour continuer.

9. Lorsque vous voyez le message indiquant que la validation de la règle a réussi, cliquez sur le bouton Create (Créer) pour terminer.

Passez en revue vos règles

Retrouvez les règles activées sous l’onglet Règles actives de la section Analytics de Microsoft Sentinel. Modifiez, activez, désactivez, dupliquez ou supprimez la règle active. La nouvelle règle s’exécute immédiatement à l’activation, puis s’exécute selon la planification définie pour elle.

Selon les paramètres par défaut, chaque fois que la règle s’exécute selon sa planification, tous les résultats trouvés génèrent une alerte de sécurité. Dans Microsoft Sentinel, les alertes de sécurité peuvent être consultées dans la section Journaux, dans la table SecurityAlert située sous le groupe Microsoft Sentinel.

Dans Microsoft Sentinel, les alertes générées à partir des règles d’analytique génèrent également des incidents de sécurité qui se trouvent dans Incidents sous Gestion des menaces dans le menu Microsoft Sentinel. Les incidents sont ce que vos équipes chargées des opérations de sécurité trient et examinent pour déterminer les actions de réponse appropriées. Vous trouverez des informations détaillées dans le Didacticiel : examiner les incidents avec Microsoft Sentinel.

Remarque

Comme les règles d’analytique limitent les recherches à 14 jours, Microsoft Sentinel actualise les indicateurs tous les 12 jours afin de s’assurer qu’ils sont disponibles pour la mise en correspondance via les règles analytiques.

Contenu connexe

Dans cet article, vous avez appris à utiliser des indicateurs de veille des menaces pour détecter les menaces. Pour plus d’informations sur le renseignement sur les menaces dans Microsoft Sentinel, reportez-vous aux articles suivants :

• Travailler avec les indicateurs de menace dans Microsoft Sentinel.
• Connecter Microsoft Sentinel aux flux de renseignements sur les menaces STIX/TAXII.
• Connecter des plateformes de renseignement sur les menaces à Microsoft Sentinel.
• Découvrez les plateformes de renseignement sur les menaces, flux TAXII et enrichissements qui peuvent être facilement intégrés avec Microsoft Sentinel.