Ajouter d’entités au renseignement sur les menaces dans Microsoft Sentinel

• S’applique à:

  Microsoft Sentinel in the Azure portal

Quand vous inspectez un incident, vous examinez les entités et leur contexte comme étant une partie importante de la compréhension de l’étendue et de la nature de l’incident. Lorsque vous découvrez une entité comme un nom de domaine malveillant, une URL, un fichier ou une adresse IP dans l’incident, elle doit être étiquetée et suivie comme indicateur de compromission (IOC) dans votre renseignement sur les menaces.

Par exemple, vous pouvez découvrir une adresse IP qui effectue des analyses de port sur votre réseau ou fonctionne en tant que nœud de commande et contrôle en envoyant et/ou en recevant des transmissions à partir d’un grand nombre de nœuds dans votre réseau.

Avec Microsoft Sentinel, vous pouvez marquer ces types d’entités dans votre enquête sur les incidents et les ajouter à votre veille des menaces. Vous pouvez afficher les indicateurs ajoutés dans Journaux et Veille des menaces et les utiliser dans votre espace de travail Microsoft Sentinel.

Ajoutez une entité à votre renseignement sur les menaces

La page Détails de l’incident et le graphique d’enquête vous offrent deux façons d’ajouter des entités à la veille des menaces.

Page des détails de l’incident

1. Dans le menu Microsoft Sentinel, sélectionnez Incidents dans la section Gestion des menaces.

2. Sélectionnez un incident à investiguer. Dans le volet Détails de l’incident, sélectionnez Afficher les détails complets pour ouvrir la page Détails de l’incident.

3. Dans le volet Entités, recherchez l’entité à ajouter comme indicateur de menace. (Vous pouvez filtrer la liste ou entrer une chaîne de recherche pour vous aider à la localiser.)

   

4. Sélectionnez les trois points à droite de l'entité, puis sélectionnez Ajouter à TI dans le menu contextuel.

   Ajoutez uniquement les types d’entités suivants en tant qu’indicateurs de menace :

   • Nom de domaine
   • Adresse IP (IPv4 et IPv6)
   • URL
   • Fichier (hachage)

   

Graphe d’investigation

Le graphe d’investigation est un outil visuel intuitif qui présente des connexions et des modèles, et qui permet à vos analystes de poser les bonnes questions et de suivre des pistes. Utilisez-le pour ajouter des entités à vos listes d’indicateurs de veille des menaces en les rendant disponibles dans votre espace de travail.

1. Dans le menu Microsoft Sentinel, sélectionnez Incidents dans la section Gestion des menaces.

2. Sélectionnez un incident à investiguer. Dans le volet Détails de l’incident, sélectionnez Actions, puis choisissez Investiguer dans le menu contextuel pour ouvrir le graphique d’enquête.

   

3. Sélectionnez l’entité dans le graphique que vous souhaitez ajouter en tant qu’indicateur de menace. Dans le volet latéral qui s’ouvre, sélectionnez Ajouter à la veille des menaces.

   Ajoutez uniquement les types d’entités suivants comme indicateurs de menace :

   • Nom de domaine
   • Adresse IP (IPv4 et IPv6)
   • URL
   • Fichier (hachage)

   

Quelle que soit l’interface que vous choisissez, vous vous retrouvez ici.

1. Le panneau latéral Nouvel indicateur s’ouvre. Les champs suivants sont renseignés automatiquement :

   • Types

     • Type d’indicateur représenté par l’entité que vous ajoutez.
       • Liste déroulante avec les valeurs possibles : ipv4-addr, ipv6-addr, URL, file et domain-name.
     • Obligatoire. Renseigné automatiquement en fonction du type d’entité.

   • Valeur

     • Le nom de ce champ passe dynamiquement au type d’indicateur sélectionné.
     • Valeur de l’indicateur lui-même.
     • Obligatoire. Renseigné automatiquement par la valeur d’entité.

   • Balises

     • Étiquettes de texte libre que vous pouvez ajouter à l’indicateur.
     • facultatif. Renseigné automatiquement par l’ID d’incident. Vous pouvez également en ajouter d’autres.

   • Nom

     • Nom de l’indicateur. Ce nom apparaît dans votre liste d’indicateurs.
     • facultatif. Renseigné automatiquement par le nom de l’incident.

   • Créé par

     • Créateur de l’indicateur.
     • facultatif. Renseigné automatiquement par l’utilisateur connecté à Microsoft Sentinel.

   Remplissez les champs restants en conséquence.

   • Types de menaces

     • Type de menace représenté par l’indicateur.
     • facultatif. Texte libre.

   • Description

     • Description de l’indicateur.
     • facultatif. Texte libre.

   • Révoqué

     • État révoqué de l’indicateur. Cochez la case pour révoquer l’indicateur. Décochez la case pour l’activer.
     • facultatif. Boolean.

   • Confiance

     • Score qui reflète la confiance dans l’exactitude des données, en pourcentage.
     • facultatif. Entier, 1-100.

   • Chaînes de suppression

     • Phases dans la cyber kill chain (cyberchaîne de frappe) Lockheed Martin à laquelle l’indicateur correspond.
     • facultatif. Texte libre.

   • Valide à partir du

     • Heure à partir de laquelle cet indicateur est considéré comme valide.
     • Obligatoire. Date/heure.

   • Valide jusqu’au :

     • Heure après laquelle cet indicateur ne doit plus être considéré comme valide.
     • facultatif. Date/heure.

   

2. Lorsque tous les champs sont remplis à votre satisfaction, sélectionnez Appliquer. Un message s’affiche dans le coin supérieur droit pour confirmer la création de votre indicateur.

3. L’entité est ajoutée en tant qu’indicateur de menace dans votre espace de travail. Elle est disponible dans la liste des indicateurs de la page Veille des menaces. Vous pouvez également la trouver dans le tableau ThreatIntelligenceIndicators, dans Journaux.

Contenu connexe

Dans cet article, vous avez appris à ajouter des entités à vos listes d’indicateurs de menace. Pour plus d’informations, consultez les articles suivants :

• Examiner les incidents avec Microsoft Azure Sentinel
• Comprendre le renseignement sur les menaces dans Microsoft Sentinel
• Travailler avec les indicateurs de menaces dans Microsoft Sentinel