Détection des menaces prête à l’emploi
Une fois que vous avez connecté vos sources de données à Microsoft Sentinel, vous souhaitez être averti en cas d’activité suspecte. C’est pourquoi Microsoft Sentinel fournit des modèles intégrés et prêts à l’emploi pour vous aider à créer des règles de détection des menaces.
Ces modèles de règles ont été conçus par l’équipe d’analystes et d’experts en sécurité de Microsoft en fonction de menaces connues, de vecteurs d’attaque courants et de chaînes d’escalade d’activités suspectes. Les règles créées à partir de ces modèles rechercheront automatiquement toute activité qui semble suspecte dans votre environnement. La plupart des modèles peuvent être personnalisés pour rechercher des activités ou les filtrer, en fonction de vos besoins. Les alertes générées par ces règles vont créer des incidents que vous pouvez attribuer et examiner dans votre environnement.
Cet article vous aide à comprendre comment détecter les menaces avec Microsoft Sentinel :
- Utiliser des détections de menaces prêtes à l’emploi
- Automatiser les réponses aux menaces
Afficher les détections intégrées
Pour afficher toutes les détections et les règles d’analyse dans Microsoft Sentinel, accédez à Analyse>Modèles de règles. Cet onglet contient toutes les règles intégrées de Microsoft Sentinel ainsi que le type de règle Threat Intelligence.
Les détections intégrées sont les suivantes :
| Type de règle | Description |
|---|---|
| Sécurité Microsoft | Les modèles de sécurité Microsoft créent automatiquement des incidents Microsoft Sentinel à partir des alertes générées dans d’autres solutions de sécurité Microsoft, en temps réel. Vous pouvez utiliser des règles de sécurité Microsoft comme modèle pour créer des règles ayant une logique similaire. Pour plus d’informations sur les règles de sécurité, consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft. |
| Fusion (certaines détections en préversion) |
Microsoft Sentinel utilise le moteur de corrélation de Fusion, avec ses algorithmes évolutifs d’apprentissage automatique, pour détecter les attaques multiphases avancées en mettant en corrélation de nombreuses alertes et événements de faible fidélité sur plusieurs produits en incidents haute fidélité et actionnables. La fusion est activée par défaut. Comme la logique est cachée et donc non personnalisable, vous ne pouvez créer qu’une seule règle avec ce modèle. Le moteur Fusion peut également corréler des alertes produites par des règles analytiques planifiées avec celles d’autres systèmes, en produisant à la fin des incidents haute-fidélité. |
| Analytique comportementale du Machine Learning | Les modèles d’analyse comportementale ML sont basés sur des algorithmes Microsoft Machine Learning propriétaires. Vous ne pouvez donc pas voir la logique interne de leur fonctionnement et du moment de leur exécution. Comme la logique est cachée et donc non personnalisable, vous ne pouvez créer qu’une seule règle avec chaque modèle de ce type. |
| Renseignement sur les menaces | Tirez parti de la veille des menaces générée par Microsoft pour générer des alertes et des incidents haute fidélité avec la règle Microsoft Threat Intelligence Analytics. Cette règle unique n’est pas personnalisable, mais quand elle est activée, elle fait correspondre automatiquement les journaux CEF (Common Event Format), données Syslog ou événements DNS Windows aux indicateurs de menace (domaine, adresse IP et URL) de Microsoft Threat Intelligence. Certains indicateurs contiennent des informations de contexte supplémentaires par le biais de MDTI (Microsoft Defender Threat Intelligence). Pour plus d’informations sur l’activation de cette règle, consultez Utiliser l’analytique de correspondance pour détecter les menaces. Pour plus d’informations sur MDTI, consultez Qu’est-ce que Microsoft Defender Threat Intelligence ? |
| Anomalie | Les modèles de règle d’anomalie utilisent l’apprentissage automatique pour détecter des types spécifiques de comportement anormal. Chaque règle a ses propres paramètres et seuils uniques, adaptés au comportement en cours d’analyse. Alors que les configurations des règles prêtes à l’emploi ne peuvent pas être modifiées ou ajustées, vous pouvez dupliquer une règle, puis modifier et ajuster la duplication. Dans ce cas, exécutez la duplication en mode Flighting et l’original simultanément en mode Production. Comparez ensuite les résultats et basculez la duplication en mode Production si et quand son ajustement vous convient. Pour plus d’informations, consultez Utiliser des anomalies personnalisables pour détecter des menaces dans Microsoft Sentinel et Utiliser des règles d’analyse de détection d’anomalie dans Microsoft Sentinel. |
| Planifié | Les règles d’analytique planifiées sont basées sur des requêtes intégrées écrites par des experts en sécurité de Microsoft. Vous pouvez voir la logique de la requête et y apporter des changements. Vous pouvez utiliser le modèle de règles planifiées et personnaliser la logique des requêtes et les paramètres de planification pour créer de nouvelles règles. Plusieurs nouveaux modèles de règle d’analyse planifiée produisent des alertes que le moteur de fusion met en corrélation avec des alertes d’autres systèmes afin de produire des incidents de haute fidélité. Pour plus d’informations, consultez Détection avancée des attaques multiphases. Conseil : Les options de planification de règles incluent la configuration de la règle pour qu’elle s’exécute chaque nombre spécifié de minutes, d’heures ou de jours, l’horloge démarrant quand vous activez la règle. Nous vous recommandons d’être attentif lorsque vous activez une règle d’analyse nouvelle ou modifiée pour vous assurer que les règles obtiendront la nouvelle pile d’incidents en temps opportun. Par exemple, vous pouvez exécuter une règle au moment où vos analystes du centre des opérations de sécurité commencent leur journée de travail, puis activer les règles. |
| Quasi-temps réel (NRT) (Préversion) |
Les règles NRT sont un ensemble limité de règles planifiées, conçues pour s’exécuter une fois toutes les minutes, afin de vous fournir des informations aussi récentes que possible. Elles fonctionnent principalement comme des règles planifiées et sont configurées de façon similaire, avec certaines limitations. Pour plus d’informations, consultez Détecter rapidement les menaces avec des règles d’analyse en quasi-temps réel dans Microsoft Sentinel. |
Important
Les modèles de règles, comme indiqué ci-dessus, sont actuellement en PRÉVERSION, tout comme certains modèles de détection Fusion (pour voir lesquels, consultez Détection des attaques multiphases avancées dans Microsoft Sentinel). Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Utiliser des règles analytiques intégrées
Cette procédure décrit comment utiliser les modèles de règles analytiques intégrées.
Pour utiliser des règles analytiques intégrées :
Dans la page Microsoft Sentinel >Analyse>Modèles de règles, sélectionnez le nom du modèle, puis sélectionnez le bouton Créer une règle dans le volet d’informations pour créer une règle active basée sur ce modèle.
Chaque modèle possède une liste de sources de données requises. Lorsque vous ouvrez le modèle, la disponibilité des sources de données est automatiquement vérifiée. En cas de problème de disponibilité, le bouton Créer une règle peut être désactivé ou un avertissement à cet effet peut s’afficher.
La sélection de Créer une règle ouvre l’Assistant création de règles en fonction du modèle sélectionné. Tous les détails sont remplis automatiquement et, grâce aux modèles Planifié ou Sécurité Microsoft, vous pouvez personnaliser la logique et les autres paramètres de règle pour mieux répondre à vos besoins spécifiques. Vous pouvez répéter ce processus pour créer des règles supplémentaires basées sur le modèle intégré. Après avoir suivi jusqu’au bout les étapes de l’Assistant Création de règles, vous aurez terminé la création d’une règle basée sur le modèle. Les nouvelles règles s’affichent dans l’onglet Règles actives.
Pour plus d’informations sur la personnalisation de vos règles dans l’Assistant création de règles, consultez Créer des règles analytiques personnalisées pour détecter les menaces.
Conseil
Veillez à activer toutes les règles associées à vos sources de données connectées afin de garantir une protection complète de votre environnement. La méthode la plus efficace pour activer les règles analytiques est directement à partir de la page du connecteur de données, qui liste toutes les règles associées. Pour plus d’informations, consultez Connecter des sources de données.
Vous pouvez également envoyer des règles à Microsoft Sentinel via l’API et PowerShell , même si cela demande davantage d’effort.
Lorsque vous utilisez l’API ou PowerShell, vous devez d’abord exporter les règles vers JSON avant de les activer. L’API ou PowerShell peuvent être utiles lors de l’activation de règles dans plusieurs instances de Microsoft Sentinel avec des paramètres identiques dans chaque instance.
Exporter des règles vers un modèle ARM
Vous pouvez facilement exporter votre règle vers un modèle Azure Resource Manager (ARM) si vous souhaitez gérer et déployer vos règles en tant que code. Vous pouvez également importer des règles à partir de fichiers modèles afin de les afficher et de les modifier dans l’interface utilisateur.
Étapes suivantes
Pour créez des règles personnalisées, utilisez des règles existantes en tant que modèles ou références. L’utilisation de règles existantes en tant que ligne de base permet de générer la majeure partie de la logique avant d’apporter les modifications nécessaires. Pour plus d’informations, consultez Créer des règles analytiques personnalisées pour détecter des menaces.
Pour découvrir comment automatiser vos réponses aux menaces, consultez Configurer des réponses automatisées aux menaces dans Microsoft Sentinel.