Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel

Le repérage des menaces nécessite généralement la vérification de montagnes de données de journal à la recherche de preuves de comportements malveillants. Pendant ce processus, les enquêteurs détectent des événements qu’ils souhaitent mémoriser, réexaminer et analyser afin de valider des hypothèses potentielles et de comprendre d’une compromission dans sa globalité.

Dans Microsoft Sentinel, les signets de chasse vous y aident en conservant les requêtes que vous avez exécutées dans Microsoft Sentinel – Logs, ainsi que les résultats de requête que vous jugez pertinents. Vous pouvez également enregistrer vos observations contextuelles et référencer vos découvertes en ajoutant des balises et des notes. Les données avec signet sont visibles par vous et vos collègues pour faciliter la collaboration.

Vous pouvez désormais identifier et résoudre les lacunes dans la couverture des techniques MITRE ATT&CK, sur toutes les requêtes de chasse, en mappant vos requêtes personnalisées à des techniques MITRE ATT&CK.

Vous pouvez également investiguer d’autres types d’entités tout en faisant la chasse aux signets, en mappant l’ensemble des types d’entités et des identificateurs pris en charge par Microsoft Sentinel Analytics dans vos requêtes personnalisées. Cela vous permet d’utiliser des signets pour explorer les entités retournées dans les résultats de la recherche de chasse à l’aide des pages d’entité, des incidents et du graphe d’investigation. Si un signet capture les résultats d’une requête de chasse, il hérite automatiquement de la technique MITRE ATT&CK et des mappages d’entité de la requête.

Si vous trouvez quelque chose qui doit être résolu en urgence au cours de la recherche dans vos journaux, vous pouvez facilement créer un signet et le promouvoir en incident ou l’ajouter à un incident existant. Pour plus d’informations sur les incidents, consultez Examiner les incidents avec Microsoft Sentinel.

Si vous avez trouvé quelque chose qui vaut la peine de se voir affecter un signet, mais qui n’est pas absolument urgent, vous pouvez créer un signet et revisiter vos données de signet à tout moment sous l’onglet Signets du volet Chasse. Vous pouvez utiliser les options de filtrage et de recherche pour trouver rapidement des données spécifiques dans le cadre de l’examen en cours.

Vous pouvez visualiser vos données avec signet en cliquant sur Examiner dans les détails du signet. Cette opération lance l’expérience d’examen dans laquelle vous pouvez afficher, examiner et communiquer visuellement vos résultats à l’aide d’un diagramme d’entité-graphique interactif et d’une chronologie.

Vous pouvez également afficher vos données marquées d’un directement dans la table HuntingBookmark de votre espace de travail Log Analytics. Par exemple :

Screenshot of viewing hunting bookmarks table.

L’affichage des signets de la table vous permet de filtrer et de synthétiser les données marquées d’un signet, ainsi que de les joindre à d’autres sources de données, ce qui facilite la recherche de preuves pour la confirmation.

Notes

Pour plus d’informations sur la disponibilité des fonctionnalités dans les clouds du secteur public américain, consultez les tableaux Microsoft Sentinel dans Disponibilité des fonctionnalités cloud pour les clients du secteur public américain.

Ajouter un signet

  1. Dans le portail Azure, accédez à Microsoft Sentinel>Gestion des menaces>Chasse pour exécuter des requêtes liées à un comportement suspect et anormal.

  2. Sélectionnez une requête de repérage et à droite, dans les détails de la requête repérage, sélectionnez Exécuter la requête.

  3. Sélectionnez Afficher les résultats de la requête. Par exemple :

    Screenshot of viewing query results from Microsoft Sentinel hunting.

    Cette action ouvre les résultats de la requête dans le volet Journaux.

  4. Dans la liste des résultats de la requête de journal, utilisez les cases à cocher pour sélectionner une ou plusieurs lignes contenant des informations que vous trouvez intéressantes.

  5. Sélectionnez Ajouter un signet :

    Screenshot of adding hunting bookmark to query.

  6. À droite, dans le volet Ajouter un signet, vous pouvez mettre à jour le nom du signet et ajouter des balises et des notes pour identifier facilement les informations intéressantes à propos de l’élément.

  7. Les signets peuvent éventuellement être mappés à des techniques MITRE ATT&CK ou sous-techniques. Les mappages MITRE ATT&CK sont hérités des valeurs mappées dans les requêtes de chasse, mais vous pouvez également les créer manuellement. Sélectionnez la tactique MITRE ATT&CK associée à la technique souhaitée dans le menu déroulant de la section Tactiques &Techniques du volet Ajouter un signet . Le menu se développe pour afficher toutes les techniques MITRE ATT&CK, et vous pouvez sélectionner plusieurs techniques et sous-techniques dans ce menu.

    Screenshot of how to map Mitre Attack tactics and techniques to bookmarks.

  8. Désormais, un ensemble étendu d’entités peut être extrait des résultats de la requête avec signet pour une investigation plus poussée. Dans la sectionMappage d’entités, utilisez les listes déroulantes pour sélectionner les types d’entités et les identificateurs. Mappez ensuite la colonne dans les résultats de la requête contenant l’identificateur correspondant. Par exemple :

    Screenshot to map entity types for hunting bookmarks.

    Pour afficher le signet dans le graphe d’investigation, vous devez mapper au moins une entité. Les mappages d’entités aux types d’entité Compte, Hôte, Adresse IP et URL créés précédemment sont pris en charge, ce qui permet de préserver la compatibilité descendante.

  9. Cliquez sur Enregistrer pour valider vos modifications et ajouter le signet. Toutes les données avec signet sont partagées avec d’autres analystes, et constituent une première étape vers une expérience d’investigation collaborative.

Notes

Les résultats de la requête de journal prennent en charge les signets chaque fois que ce volet est ouvert à partir de Microsoft Sentinel. Par exemple, vous sélectionnez Général>Journaux dans la barre de navigation, sélectionnez les liens d’événements dans le graphe d'examen ou sélectionnez un ID d’alerte dans les détails complets d’un incident. Vous ne pouvez pas créer de signets lorsque le volet Journaux est ouvert à partir d’autres emplacements, par exemple directement depuis Azure Monitor.

Afficher et mettre à jour des signets

  1. Dans le portail Azure, accédez à Microsoft Sentinel>Gestion des menaces>Chasse.

  2. Sélectionnez l’onglet Signets pour afficher la liste des signets.

  3. Utilisez les options de filtre ou de la zone de recherche pour trouver un signet spécifique.

  4. Sélectionnez des signets individuels et affichez les détails de ce signet dans le volet de détails de droite.

  5. Apportez les modifications nécessaires. Celles-ci sont automatiquement enregistrées.

Exploration des signets dans le graphe d’examen

  1. Dans le portail Azure, accédez à Microsoft Sentinel>Gestion des menaces>Chasse>Signets, puis sélectionnez le(s) signet(s) que vous souhaitez examiner.

  2. Dans les détails du signet, assurez-vous qu’au moins une entité est mappée.

  3. Sélectionnez Examiner pour afficher le signet dans le graphe d’investigation.

Pour savoir comment utiliser le graphe d’examen, consultez Utiliser le graphe d’examen pour approfondir les recherches.

Ajouter des signets à un incident nouveau ou existant

  1. Dans le portail Azure, accédez à Microsoft Sentinel>Gestion des menaces>Chasse>Signets, puis sélectionnez le(s) signet(s) que vous souhaitez ajouter à un incident.

  2. Sélectionnez Actions d’incident dans la barre de commandes :

    Screenshot of adding bookmarks to incident.

  3. Sélectionnez Créer un incident ou Ajouter à un incident existant, selon le cas. Ensuite :

    • Pour un nouvel incident : Vous pouvez également mettre à jour les détails de l'incident, puis sélectionner Créer.
    • Pour ajouter un signet à un incident existant : Sélectionnez un incident, puis Ajouter.

Pour afficher le signet dans l’incident, accédez à Microsoft Sentinel>Gestion des menaces>Incidents, puis sélectionnez l’incident avec votre signet. Sélectionnez Afficher les détails, puis l'onglet Signets.

Conseil

En guise d’alternative à l’option Actions d’incident dans la barre de commandes, vous pouvez utiliser le menu contextuel ( ... ) pour un ou plusieurs signets afin de sélectionner des options pour Créer un incident, Ajouter à un incident existant et Supprimer de l’incident.

Afficher les données avec signet dans les journaux

Pour afficher les requêtes avec signet, les résultats ou l’historique, sélectionnez le signet dans l'onglet Repérage>Signets et utilisez les liens fournis dans le volet de détails :

  • Utilisez Afficher la requête source pour afficher la requête source dans le volet Journaux.

  • Afficher les journaux des signets pour afficher toutes les métadonnées du signet, notamment l’auteur de la mise à jour, les valeurs mises à jour et l’heure de la mise à jour.

Vous pouvez également afficher les données de signets brutes pour tous les signets en sélectionnant Journaux de signets dans le barre de commandes de l'onglet Repérage>Signets :

Screenshot of bookmark logs command.

Cet affichage montre tous vos signets avec les métadonnées associées. Vous pouvez utiliser des requêtes Kusto Query Language (KQL) pour filtrer jusqu’à la dernière version du signet spécifique que vous recherchez.

Notes

Il peut y avoir un délai important (mesuré en minutes) entre la création d’un signet et le moment où il apparaît dans l'onglet Signets.

Supprimer un signet

  1. Dans le portail Azure, accédez à Microsoft Sentinel>Gestion des menaces>Chasse>Signets, puis sélectionnez le(s) signet(s) que vous souhaitez examiner.

  2. Cliquez avec le bouton droit sur vos sélections, puis sélectionnez l’option permettant de supprimer le nombre de signets que vous avez sélectionnés.

La suppression du signet supprime le signet de la liste dans l’onglet Signet. La table HuntingBookmark pour votre espace de travail Log Analytics contient toujours les précédentes entrées de signet, mais la valeur de la dernière entrée pour SoftDelete devient true, ce qui vous permet de filtrer aisément les anciens signets. La suppression d’un signet ne supprime pas les entités de l’expérience d’examen qui sont associées à d’autres alertes ou signets.

Étapes suivantes

Dans cet article, vous avez appris à exécuter un examen de repérage à l’aide de signets dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :