Partage via

Utiliser des fonctions Microsoft Sentinel, des requêtes enregistrées et des règles personnalisées

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Utiliser des fonctions

Pour utiliser une fonction de Microsoft Sentinel, accédez à l’onglet Fonctions et faites défiler jusqu’à ce que vous trouviez la fonction souhaitée. Double-cliquez sur le nom de la fonction pour insérer la fonction dans l’éditeur de requête.

Vous pouvez également sélectionner les points de suspension verticaux ( icône kebab ) à droite de la fonction et sélectionner Insérer pour la requête pour insérer la fonction dans une requête dans l’éditeur de requête.

Les autres options incluent notamment :

  • Afficher les détails : ouvre le volet côté fonction contenant ses détails
  • Charger le code de la fonction : ouvre un nouvel onglet contenant le code de la fonction

Pour les fonctions modifiables, d’autres options sont disponibles lorsque vous sélectionnez les points de suspension verticaux :

  • Modifier les détails : ouvre le volet côté fonction pour vous permettre de modifier les détails de la fonction (à l’exception des noms de dossiers pour les fonctions Sentinel)
  • Supprimer : supprime la fonction

Utiliser l’opérateur arg() pour les requêtes Azure Resource Graph (préversion)

Les clients en préversion peuvent utiliser l’opérateur arg() pour interroger les ressources Azure déployées telles que les abonnements, les machines virtuelles, le processeur, le stockage, etc. Pour plus d’informations, consultez Créer des alertes avec Azure Resource Graph et Log Analytics.

Dans l’éditeur de requête, entrez arg(«  »). suivi du nom de la table Azure Resource Graph.

arg("").<Azure-Resource-Graph-table-name>

Vous pouvez ensuite, par instance, filtrer une requête qui effectue une recherche sur Microsoft Sentinel données en fonction des résultats d’une requête Azure Resource Graph :

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

Utiliser des requêtes enregistrées

Pour utiliser une requête enregistrée à partir de Microsoft Sentinel, accédez à l’onglet Requêtes et faites défiler jusqu’à ce que vous trouviez la requête souhaitée. Double-cliquez sur le nom de la requête pour charger la requête dans l’éditeur de requête. Pour plus d’options, sélectionnez les points de suspension verticaux ( icône kebab ) à droite de la requête. À partir de là, vous pouvez effectuer les actions suivantes :

  • Exécuter la requête : charge la requête dans l’éditeur de requête et l’exécute automatiquement

  • Ouvrir dans l’éditeur de requête : charge la requête dans l’éditeur de requête

  • Afficher les détails : ouvre le volet latéral des détails de la requête dans lequel vous pouvez inspecter la requête, exécuter la requête ou ouvrir la requête dans l’éditeur

    Capture d’écran des options disponibles dans les requêtes enregistrées dans le portail Microsoft Defender

Pour les requêtes modifiables, d’autres options sont disponibles :

  • Modifier les détails : ouvre le volet latéral détails de la requête avec la possibilité de modifier les détails tels que la description (le cas échéant) et la requête elle-même. seuls les noms de dossiers (emplacement) des requêtes Microsoft Sentinel ne peuvent pas être modifiés
  • Supprimer : supprime la requête
  • Renommer : vous permet de modifier le nom de la requête

Créer des règles d’analyse et de détection personnalisées

Pour vous aider à détecter les menaces et les comportements anormaux dans votre environnement, vous pouvez créer des stratégies de détection personnalisées.

Pour les règles d’analyse qui s’appliquent aux données ingérées via l’espace de travail Microsoft Sentinel connecté, sélectionnez Gérer les règles > Créer une règle d’analyse.

Capture d’écran des options permettant de créer des analyses ou des détections personnalisées dans le portail Microsoft Defender

L’Assistant Règle d’analyse s’affiche. Renseignez les informations requises, comme décrit dans Assistant Règle d’analyse — Onglet Général.

Vous pouvez également créer des règles de détection personnalisées qui interrogent les données des tables Microsoft Sentinel et Defender XDR. Sélectionnez Gérer les règles > Créer une détection personnalisée. Pour plus d’informations, consultez Créer et gérer des règles de détection personnalisées .

Si vos données Defender XDR sont ingérées dans Microsoft Sentinel, vous avez la possibilité de choisir entre Créer une détection personnalisée et Créer une règle d’analyse.