Créer des requêtes de repérage personnalisées dans Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Recherchez les menaces de sécurité dans les sources de données de votre organisation avec des requêtes de repérage personnalisées. Microsoft Sentinel fournit des requêtes de repérage intégrées pour vous aider à trouver des problèmes dans les données présentes sur votre réseau, mais vous pouvez créer vos propres requêtes personnalisées. Pour plus d’informations sur les requêtes de repérage, consultez Repérage de menaces dans Microsoft Sentinel.

Créer une requête

Dans Microsoft Sentinel, créez une requête de repérage personnalisée à partir de l’onglet Repérage>Requêtes.

1. Pour Microsoft Sentinel, sur le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
   Pour Microsoft Sentinel, sur le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Chasse.

2. Sélectionnez l’onglet Requêtes.

3. À partir de la barre de commandes, sélectionnez Nouvelle requête.

   Azure portal

   

   Portail Defender

   

4. Renseignez tous les champs vides.

   1. Créez des mappages d’entités en sélectionnant des types d’entité, des identificateurs et des colonnes.

      

   2. Mappez les techniques MITRE ATT&CK à vos requêtes de chasse en sélectionnant la tactique, la technique et la sous-technique (le cas échéant).

      

5. Lorsque vous avez terminé de définir votre requête, sélectionnez Créer.

Cloner une requête existante

Clonez une requête personnalisée ou intégrée et modifiez-la si nécessaire.

1. Sous l’onglet Repérage>Requêtes, sélectionnez la requête de repérage à cloner.

2. Sélectionnez les points de suspension (...) sur la ligne de la requête que vous souhaitez modifier, puis sélectionnez Cloner.

   Azure portal

   

   Portail Defender

   

3. Modifiez la requête et d’autres champs en fonction des besoins.

4. Sélectionnez Créer.

Modifier une requête personnalisée existante

Seules les requêtes provenant d’une source de contenu personnalisée peuvent être modifiées. D’autres sources de contenu doivent être modifiées à cette source.

1. Sous l’onglet Repérage>Requêtes, sélectionnez la requête de repérage à modifier.

2. Sélectionnez les points de suspension (...) sur la ligne de la requête que vous souhaitez modifier, puis sélectionnez Modifier.

3. Mettez à jour le champ Requête avec la requête mise à jour. Vous pouvez également modifier le mappage d’entités et les techniques.

4. Lorsque vous avez terminé, sélectionnez Enregistrer.

Contenu connexe

• Aide-mémoire sur KQL
• Analyseurs du modèle ASIM (Advanced Security Information Model)
• Chasse aux menaces dans Microsoft Sentinel
• Effectuer un repérage des menaces de manière proactive et de bout en bout dans Microsoft Sentinel