Personnaliser des détails d’alerte dans Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Cet article explique comment remplacer les propriétés par défaut d’alertes par le contenu des résultats de la requête sous-jacente.

Dans le processus de création d’une règle d’analytique planifiée, vous définissez dans un premier temps un nom et une description pour la règle, puis vous lui attribuez une gravité et des tactiques MITRE ATT&CK. Toutes les alertes générées par une règle donnée et tous les incidents créés en conséquence héritent du nom, de la description, de la gravité et des tactiques définis dans la règle, quel que soit le contenu particulier d’une instance spécifique de l’alerte.

La fonctionnalité détails d’alerte vous permet de remplacer ces propriétés d’alerte et d’autres propriétés par défaut de deux manières :

• Créer des noms et des descriptions de variables personnalisés pour vos alertes. Dans la sortie de la requête de votre alerte, vous pouvez sélectionner des champs dont le contenu peut être inclus dans le nom ou la description de chaque instance de l’alerte. Si le champ sélectionné n’a pas de valeur dans une instance donnée, les détails d’alerte pour cette instance reviennent aux valeurs par défaut spécifiées dans la première page de l’Assistant.

• Personnaliser la gravité, les tactiques et les autres propriétés d’une instance donnée d’une alerte (voir la liste complète des propriétés ci-dessous) avec les valeurs des champs pertinents de la sortie de requête. Si les champs sélectionnés sont vides ou ont des valeurs qui ne correspondent pas au type de données du champ, les propriétés d’alerte respectives reviennent à leurs valeurs par défaut (pour les tactiques et la gravité, il s’agit de celles spécifiées dans la première page de l’Assistant).

Important

• La personnalisation de certains détails d’alerte (indiqués ci-dessous) est actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
• Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée Microsoft du portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Suivez la procédure détaillée ci-dessous pour utiliser la fonctionnalité de détails d’alerte. Ces étapes font partie de l’Assistant Création de règles d’analytique, mais elles sont traitées ici indépendamment pour expliquer le scénario d’ajout ou de modification des détails d’alerte dans une règle d’analytique existante.

Comment personnaliser des détails d’alerte

1. Rendez-vous sur la page Analytics depuis le portail via lequel vous accédez à Microsoft Sentinel :

   Azure portal

   Dans la section Configuration du menu de navigation de Microsoft Sentinel, sélectionnez Analytics.

   Portail Defender

   Dans le menu de navigation de Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analyse.

2. Sélectionnez une règle de requête planifiée, puis cliquez sur Modifier. Vous pouvez également créer une règle en sélectionnant Créer > Règle de requête planifiée en haut de l’écran.

3. Sélectionnez l’onglet Définir la logique de la règle.

4. Dans la section Enrichissement d’alertes, développez Détails d’alerte.

   

5. Dans la section Détails d’alerte à présent développée, ajoutez du texte libre qui inclut les propriétés correspondant aux détails que vous souhaitez afficher dans l’alerte :

   1. Dans le champ Format de nom d’alerte, entrez le texte à afficher comme nom de l’alerte (texte d’alerte), puis incluez, entre accolades doubles, les champs de sortie de requête que vous souhaitez intégrer dans le texte de l’alerte.

      Exemple : Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. Procédez de la même façon pour le champ Format de description d’alerte.

      Notes

      Vous êtes actuellement limité à trois paramètres dans le champ Format de nom d’alerte et le champ Format de description d’alerte (six paramètres en tout).

   3. Pour remplacer d’autres propriétés par défaut, sélectionnez une propriété d’alerte dans la liste déroulante Propriété d’alerte. Sélectionnez ensuite dans les résultats de la requête le champ dont vous souhaitez utiliser le contenu pour remplir la propriété d’alerte à partir de la liste déroulante Valeur.

   4. Pour remplacer d’autres propriétés par défaut, sélectionnez + Ajouter nouveau et répétez l’étape précédente. Les propriétés suivantes peuvent être remplacées :

      Nom	Description
      AlertName	Chaîne
      Description	Chaîne
      AlertSeverity	Une des valeurs suivantes : - Informational - Faible - Moyenne - Activité
      Tactique	Une des valeurs suivantes : - Reconnaissance - ResourceDevelopment - InitialAccess - Exécution - Persistance - PrivilegeEscalation - DefenseEvasion - CredentialAccess - Découverte - LateralMovement - Collection - Exfiltration - CommandAndControl - Impact - PreAttack - ImpairProcessControl - InhibitResponseFunction
      Techniques (Préversion)	Chaîne qui correspond à l’expression régulière suivante : ^T(?<Digits>\d{4})$. Par exemple : T1234
      AlertLink (Préversion)	Chaîne
      ConfidenceLevel (Préversion)	Une des valeurs suivantes : -  Faible - Activité - Inconnu
      ConfidenceScore (Préversion)	Entier, compris entre 0-1 (inclus)
      ExtendedLinks (Préversion)	Chaîne
      ProductComponentName (Préversion)	Chaîne
      ProductName (Préversion) * Consulter la note qui suit ce tableau	Chaîne
      ProviderName (Préversion)	Chaîne
      RemediationSteps (Préversion)	Chaîne

      Remarque

      Si vous avez intégré Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée, ne personnalisez pas le champ ProductName pour les alertes provenant de sources Microsoft. Cela entraîne la suppression de ces alertes à partir de Microsoft Defender XDR et empêche la création d’incidents.

   Si vous changez d’avis ou si vous avez commis une erreur, vous pouvez supprimer un détail d’alerte en cliquant sur l’icône de la corbeille en regard de la paire Propriété d’alerte/Valeur, ou supprimer le texte libre entré dans les champs des formats de nom ou de description d’alerte.

6. Une fois que vous avez fini de personnaliser les détails de votre alerte, si vous êtes en train de créer la règle, passez à l’onglet suivant de l’Assistant. Si vous modifiez une règle existante, sélectionnez l’onglet Vérifier et créer. Une fois la règle validée, sélectionnez Enregistrer.

Limites du service

• Vous pouvez remplacer un champ avec jusqu’à 50 valeurs dans une seule requête. Lorsque votre requête dépasse 50 valeurs personnalisées, toutes les valeurs personnalisées sont supprimées et, dans tous les résultats de requête, le champ revient à sa valeur par défaut. Ajustez votre requête pour cesser temporairement l’exécution de plus de 50 valeurs afin de veiller à ce qu’aucune valeur personnalisée ne soit supprimée.
• La limite de taille pour le champ AlertName et toutes les autres propriétés autres qu’une collection est de 256 octets.
• La limite de taille pour le champ Description et toutes les autres propriétés de collection est de 5 KO.
• Les valeurs dépassant les limites de taille sont supprimées.

Étapes suivantes

Ce document vous a montré comment personnaliser des détails d’alerte dans les règles analytiques de Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Explorez les autres façons d’enrichir vos alertes :
  • Mapper des champs de données à des entités dans Microsoft Sentinel
  • Faire apparaître les détails des événements personnalisés dans les alertes de Microsoft Sentinel
• Obtenez une vue d’ensemble complète des règles analytiques de requête planifiée.
• Apprenez-en davantage sur les entités de Microsoft Sentinel.