Utiliser des règles d’analyse de détection d’anomalie dans Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

La fonctionnalité d’anomalies personnalisables de Microsoft Sentinel fournit des modèles d’anomalies intégrés pour une valeur immédiate prête à l’emploi. Ces modèles d’anomalies ont été développés pour être robustes en utilisant des milliers de sources de données et des millions d’événements, mais cette fonctionnalité vous permet également de modifier facilement les seuils et les paramètres des anomalies dans l’interface utilisateur. Les règles d’anomalie sont activées par défaut afin de générer des anomalies prêtes à l’emploi. Vous trouverez et pourrez interroger ces anomalies dans la table Anomalies de la section Journaux.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Voir les modèles de règle d’anomalies personnalisables

Vous pouvez maintenant trouver des règles d’anomalie affichées dans une grille sous l’onglet Anomalies dans la page Analytique.

1. Pour les utilisateurs de Microsoft Sentinel dans le Portail Azure, sélectionnez Analytics dans le menu de navigation Microsoft Sentinel.

   Pour les utilisateurs de la plateforme unifiée d’opérations de sécurité du Portail Microsoft Defender, sélectionnez Microsoft Sentinel > Configuration > Analytics dans le menu de navigation de Microsoft Defender.

2. Sur la page Analytique, sélectionnez l’onglet Anomalies.

3. Pour filtrer la liste selon un ou plusieurs des critères suivants, sélectionnez Ajouter un filtre et choisissez en conséquence.

   • État indique si la règle est activée ou désactivée.

   • Tactiques : désigne les tactiques de l’infrastructure MITRE ATT&CK couvertes par l’anomalie.

   • Techniques : désigne les techniques de l’infrastructure MITRE ATT&CK couvertes par l’anomalie.

   • Sources de données : type de journaux qui doivent être ingérés et analysés pour que l’anomalie soit définie.

4. Sélectionnez une règle et affichez les informations suivantes dans le volet d’informations :

   • Description explique le fonctionnement de l’anomalie et les données dont elle a besoin.

   • Tactiques et techniques sont les tactiques et techniques du framework MITRE ATT&CK couvertes par l’anomalie.

   • Paramètres désigne les attributs configurables pour l’anomalie.

   • Seuil désigne une valeur configurable qui indique le degré auquel un événement doit être inhabituel avant la création d’une anomalie.

   • Fréquence de la règle désigne le temps entre les travaux de traitement des journaux qui recherchent les anomalies.

   • L’état de la règle indique si la règle s’exécute en mode Production ou Version d’évaluation (intermédiaire) quand elle est activée.

   • Version d’anomalie indique la version du modèle qui est utilisée par une règle. Si vous souhaitez modifier la version utilisée par une règle qui est déjà active, vous devez recréer la règle.

Les règles fournies avec Microsoft Sentinel hors de la boîte ne peuvent pas être modifiées ni supprimées. Pour personnaliser une règle, vous devez d’abord créer un doublon de la règle, puis personnaliser le doublon. Consultez les instructions complètes.

Notes

Pourquoi existe-t-il un bouton Modifier si la règle ne peut pas être modifiée ?

Bien que vous ne puissiez pas modifier la configuration d’une règle d’anomalie prête à l’emploi, vous pouvez effectuer deux opérations :

1. Vous pouvez basculer l’état de règle de la règle de Production à Flighting.

2. Vous pouvez envoyer des commentaires à Microsoft sur votre expérience avec des anomalies personnalisables.

Évaluer la qualité des anomalies

Vous pouvez voir l’efficacité d’une règle d’anomalie en examinant un échantillon des anomalies créées par la règle au cours des dernières 24 heures.

1. Pour les utilisateurs de Microsoft Sentinel dans le Portail Azure, sélectionnez Analytics dans le menu de navigation Microsoft Sentinel.

   Pour les utilisateurs de la plateforme unifiée d’opérations de sécurité du Portail Microsoft Defender, sélectionnez Microsoft Sentinel > Configuration > Analytics dans le menu de navigation de Microsoft Defender.

2. Sur la page Analytique, sélectionnez l’onglet Anomalies.

3. Sélectionnez la règle que vous souhaitez évaluer et copiez son ID en haut du volet d’informations à droite.

4. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Journaux.

5. Si une galerie Requêtes apparaît en haut, fermez-la.

6. Sélectionnez l’onglet Tables dans le volet gauche de la page Journaux.

7. Définissez le filtre Intervalle de temps sur Dernières 24 heures.

8. Copiez la requête Kusto ci-dessous et collez-la dans la fenêtre de requête (où il est indiqué « Saisissez votre requête ici ou… ») :

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   Collez l’ID de la règle que vous avez copié ci-dessus à la place de <RuleId> entre guillemets.

9. Sélectionnez Exécuter.

Lorsque vous obtenez quelques résultats, vous pouvez commencer à évaluer la qualité des anomalies. Si vous n’avez pas de résultats, essayez d’augmenter l’intervalle de temps.

Développez les résultats de chaque anomalie, puis développez le champ AnomalyReasons. Il vous indique la raison pour laquelle l’anomalie s’est déclenchée.

Le caractère « raisonnable » ou « utile » d’une anomalie peut dépendre des conditions de votre environnement, mais une raison courante pour laquelle une règle d’anomalie produit un trop grand nombre d’anomalies est que le seuil est trop bas.

Ajuster les règles d’anomalie

Bien que les règles d’anomalie soient conçues pour une efficacité maximale dès leur création, chaque situation est unique et les règles d’anomalie doivent parfois être ajustées.

Comme vous ne pouvez pas modifier une règle active originale, vous devez d’abord dupliquer une règle d’anomalie active, puis personnaliser la copie.

La règle d’anomalie originale continuera de fonctionner jusqu’à ce que vous la désactiviez ou la supprimiez.

Cela est prévu pour vous donner la possibilité de comparer les résultats générés par la configuration d’origine et la nouvelle. Les règles dupliquées sont désactivées par défaut. Vous ne pouvez faire qu’une seule copie personnalisée d’une règle d’anomalie donnée. Les tentatives de création d’une deuxième copie échoueront.

1. Pour modifier la configuration d’une règle d’anomalie, sélectionnez la règle dans la liste sous l’onglet Anomalies.

2. Cliquez avec le bouton droit n’importe où sur la ligne de la règle, ou cliquez sur le bouton de sélection (…) à la fin de la ligne, puis sélectionnez Dupliquer dans le menu contextuel.

   Une nouvelle règle s’affiche dans la liste, avec les caractéristiques suivantes :

   • Le nom de la règle sera identique à l’original, avec « - Personnalisé » ajouté à la fin.
   • L’état de la règle est désactivé.
   • Le badge FLGT s’affiche au début de la ligne pour indiquer que la règle est en mode Flighting.

3. Pour personnaliser cette règle, sélectionnez la règle et sélectionnez Modifier dans le volet d’informations ou dans le menu contextuel de la règle.

4. La règle s’ouvre dans l’Assistant Règle d’analyse. Vous pouvez y modifier les paramètres de la règle et son seuil. Les paramètres qui peuvent être modifiés varient selon le type d’anomalie et l’algorithme.

   Vous pouvez afficher un aperçu des résultats à la suite de vos modifications dans le volet Aperçu des résultats. Sélectionnez un ID d’anomalie dans l’aperçu des résultats pour voir pourquoi le modèle ML identifie cette anomalie.

5. Activez la règle personnalisée pour générer des résultats. Certaines de vos modifications peuvent nécessiter une nouvelle exécution de la règle. Vous devez donc attendre qu’elle se termine et revenir en arrière pour vérifier les résultats sur la page Journaux. La règle d’anomalie personnalisée s’exécute par défaut en mode Flighting (test). Par défaut , la règle originale continue à s’exécuter en mode Production.

6. Pour comparer les résultats, revenez à la table Anomalies dans Journaux pour évaluer la nouvelle règle comme précédemment. Utilisez uniquement la requête suivante au lieu de rechercher des anomalies générées par la règle originale, ainsi que la règle dupliquée.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   Collez l’ID de la règle que vous avez copié à partir de la règle originale à la place de <RuleId> entre guillemets. La valeur de AnomalyTemplateId dans les règles d’origine et dupliquées est identique à la valeur de RuleId dans la règle d’origine.

Si vous êtes satisfait des résultats de la règle personnalisée, vous pouvez revenir à l’onglet Anomalies, sélectionner la règle personnalisée, puis le bouton Modifier et, sous l’onglet Général, faire basculer la règle du mode Flighting au mode Production. La règle originale passera automatiquement en mode Flighting, car vous ne pouvez pas avoir deux versions de la même règle en production en même temps.

Étapes suivantes

Dans ce document, vous avez appris à utiliser des règles analytiques de détection d’anomalies personnalisables dans Microsoft Sentinel.

• Obtenez des informations générales sur les anomalies personnalisables.
• Affichez les types d’anomalies disponibles dans Microsoft Sentinel.
• Explorez d’autres types de règles d’analyse.