Examiner les entités avec des pages d’entités dans Microsoft Sentinel

Lorsque vous rencontrez un compte d’utilisateur, un nom d’hôte/une adresse IP ou une ressource Azure dans une enquête sur les incidents, vous voudrez peut-être en savoir plus. Par exemple, vous souhaiterez peut-être connaître son historique d’activité, par exemple le fait qu’il soit apparu dans d’autres alertes ou incidents, qu’il ait fait quelque chose d’inattendu ou hors de caractère, et ainsi de suite. En bref, vous souhaitez obtenir des informations qui peuvent vous aider à déterminer quel type de menace ces entités représentent et guident votre enquête en conséquence.

Pages d’entité

Dans ces situations, vous pouvez sélectionner l’entité (elle apparaît sous la forme d’un lien cliquable) et être redirigé vers une page d’entité, une feuille de données complète d’informations utiles sur cette entité. Vous pouvez également accéder à une page d’entité en recherchant directement des entités dans la page de comportement de l’entité Microsoft Sentinel. Les types d’informations que contient les pages d’entités incluent des faits de base sur l’entité, une chronologie d’événements notables liés à cette entité, ainsi que des insights sur le comportement de l’entité.

Plus précisément, les pages d’entité se composent de trois parties :

  • Le volet gauche contient les informations d’identification de l’entité, collectées à partir de sources de données telles qu’Azure Active Directory, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender pour le cloud, CEF/Syslog et Microsoft 365 Defender (avec tous ces composants).

  • Le panneau central affiche une chronologie graphique et textuelle des événements notables liés à l’entité, tels que des alertes, des signets, des anomalies et des activités. Les activités sont des agrégations d’événements notables de Log Analytics. Les requêtes qui détectent ces activités sont développées par des équipes de recherche en matière de sécurité de Microsoft, et vous pouvez désormais ajouter vos propres requêtes personnalisées pour détecter les activités de votre choix.

  • Le panneau de droite présente des insights comportementaux sur l’entité. Ces insights sont développés en continu par les équipes de recherche de sécurité Microsoft. Ils sont basés sur différentes sources de données et fournissent un contexte pour l’entité et ses activités observées, ce qui vous aide à identifier rapidement les menaces anormales et les menaces de sécurité.

Si vous examinez un incident à l’aide de la nouvelle expérience d’examen (désormais en préversion), vous pouvez consulter une version en panneau de la page Entité sur la page Détails de l’incident. Vous disposez d’une liste de toutes les entités impliquées dans un incident donné, et, lorsque vous sélectionnez une entité, un panneau latéral s’ouvre ; il comporte trois « cartes » (Informations, Chronologie et Aperçus) qui affichent toutes les mêmes informations décrites ci-dessus, dans le délai d’exécution spécifique correspondant à celui des alertes de l’incident.

La chronologie

Capture d’écran d’un exemple de chronologie sur une page d’entité.

La chronologie est une partie majeure de la contribution de la page d’entité à l’analyse du comportement dans Microsoft Sentinel. Elle présente l’historique des événements liés à l’entité, qui vous aide à comprendre l’activité de celle-ci dans un délai d’exécution spécifique.

Vous pouvez choisir le délai d’exécution parmi plusieurs options prédéfinies (par exemple, dernières 24 heures), ou définir un délai d’exécution personnalisé. En outre, vous pouvez définir des filtres qui limitent les informations de la chronologie à des types spécifiques d’événements ou d’alertes.

Les types d’éléments suivants sont inclus dans la chronologie :

  • Alertes – toute alerte dans laquelle l’entité est définie en tant qu’entité mappée. Notez que, si votre organisation a créé des alertes personnalisées utilisant des règles d’analyse, vous devez vous assurer que le mappage d’entité des règles est correctement effectué.

  • Signets – signets incluant l’entité affichée sur la page.

  • Anomalies – Détections UEBA basées sur des références dynamiques créées pour chaque entité à partir de différentes entrées de données et par rapport à ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble.

  • Activités – agrégation d’événements notables liés à l’entité. Un large éventail d’activités sont automatiquement collectées, et vous pouvez désormais personnaliser cette section en ajoutant les activités de votre choix.

Insights sur les entités

Les insights d’entité sont des requêtes définie par les chercheurs en matière de sécurité de Microsoft pour aider vos analystes à investiguer plus efficacement. Les insights sont présentées dans la page de l’entité. Elles fournissent des informations de sécurité précieuses sur les hôtes et les utilisateurs, sous la forme de graphiques et de données tabulaires. Les informations étant disponibles ici, vous n’avez pas à passer par Log Analytics. Les insights contiennent des données relatives aux connexions, aux ajouts de groupes, aux événements anormaux, et ainsi de suite. Ils incluent également des algorithmes de Machine Learning avancés pour détecter les comportements anormaux.

Les insights reposent sur les sources de données suivantes :

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Azure AD)
  • SigninLogs (Azure AD)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA Microsoft Sentinel)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Comment utiliser les pages d’entité

Les pages d’entité sont conçues pour faire partie de plusieurs scénarios d’usage. Elles sont accessibles à partir de la gestion des incidents, du graphe d’investigation, des signets ou directement à partir de la page de recherche d’entité sous Comportement des entités dans le menu principal de Microsoft Sentinel.

Schéma des zones à partir desquelles vous pouvez accéder aux pages d’entités, correspondant aux cas d’usage.

Les informations de la page d’entité sont stockées dans la table BehaviorAnalytics et décrites en détail dans la section Informations de référence sur UEBA Microsoft Sentinel.

Pages d’entités prises en charge

Microsoft Sentinel propose actuellement les pages d’entités suivantes :

  • Compte d’utilisateur

  • Host

  • Adresse IP (préversion)

    Notes

    La page d’entité Adresse IP (désormais en préversion) contient les données de géolocalisation fournies par le service Microsoft Threat Intelligence. Ce service combine les données de géolocalisation des solutions Microsoft et des fournisseurs et partenaires tiers. Les données sont ensuite disponibles à des fins d’analyse et d’investigation dans le contexte d’un incident de sécurité. Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique).

  • Ressource Azure (préversion)

  • Appareil IoT (préversion)

Étapes suivantes

Dans ce document, vous avez découvert comment obtenir des informations sur les entités de Microsoft Sentinel à l’aide de pages d’entités. Pour plus d’informations sur les entités et leur utilisation, consultez les articles suivants :