Mener une chasse proactive de bout en bout aux menaces dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

La chasse proactive aux menaces est un processus dans lequel les analystes de sécurité recherchent les menaces non détectées et les comportements malveillants. En créant une hypothèse, en recherchant des données et en validant cette hypothèse, ils déterminent sur quoi agir. Les actions peuvent inclure la création de nouvelles détections, de nouvelles informations sur les menaces ou l’épinglage d’un nouvel incident.

Utilisez l’expérience de chasse de bout en bout dans Microsoft Sentinel pour :

  • Recherchez de manière proactive en fonction de techniques MITRE spécifiques, d’une activité potentiellement malveillante, de menaces récentes ou de votre propre hypothèse personnalisée.
  • Utilisez des requêtes de chasse générées par le chercheur de sécurité ou des requêtes de chasse personnalisées pour examiner les comportements malveillants.
  • Effectuez vos recherches à l’aide de plusieurs onglets de requête persistante qui vous permettent de conserver le contexte au fil du temps.
  • Collectez des preuves, examinez les sources UEBA et annotez vos résultats à l’aide de signets spécifiques à la chasse.
  • Collaborez et documentez vos résultats avec des commentaires.
  • Agir sur les résultats en créant de nouvelles règles analytiques, de nouveaux incidents, de nouveaux indicateurs de menace et en exécutant des playbooks.
  • Suivez vos nouvelles chasses actives et fermées au même endroit.
  • Affichez les métriques en fonction d’hypothèses validées et de résultats tangibles.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Configuration requise

Pour pouvoir utiliser la fonctionnalité de chasse, vous devez disposer d’un rôle de Microsoft Sentinel intégré ou d’un rôle RBAC Azure personnalisé. Voici vos options :

Pour plus d’informations, consultez Rôles et autorisations dans la plateforme Microsoft Sentinel.

Définir votre hypothèse

La définition d’une hypothèse est un processus flexible et ouvert qui peut inclure n’importe quelle idée que vous souhaitez valider. Les hypothèses courantes sont les suivantes :

  • Comportement suspect : examinez les activités potentiellement malveillantes visibles dans votre environnement pour déterminer si une attaque se produit.
  • Nouvelle campagne contre les menaces : recherchez les types d’activités malveillantes en fonction des acteurs, techniques ou vulnérabilités des menaces nouvellement découverts. C’est peut-être quelque chose dont vous avez entendu parler dans un article d’actualités sur la sécurité.
  • Écarts de détection : augmentez votre couverture de détection à l’aide de la carte MITRE ATT&CK pour identifier les lacunes.

Microsoft Sentinel vous offre de la flexibilité lorsque vous vous trouvez sur le bon ensemble de requêtes de chasse pour examiner votre hypothèse. Lorsque vous créez une chasse, lancez-la avec des requêtes de chasse présélectionnées ou ajoutez des requêtes à mesure que vous progressez. Voici des recommandations pour les requêtes présélectionnées basées sur les hypothèses les plus courantes.

Hypothèse - Comportement suspect

  1. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestiondela chasse>.

  2. Sélectionnez l’onglet Requêtes . Pour identifier les comportements potentiellement malveillants, exécutez toutes les requêtes.

  3. Sélectionnez Exécuter toutes les requêtes> en attendant que les requêtes s’exécutent. Ce processus peut prendre un certain temps.

  4. Sélectionnez Ajouter un filtre>Résultats> désélectionnez les cases à cocher « ! », « N/A », « - » et « 0 » valeurs> Appliquer Capture d’écran montrant le filtre décrit à l’étape 3.

  5. Triez ces résultats en fonction de la colonne Delta des résultats pour voir ce qui a changé récemment. Ces résultats fournissent des conseils initiaux sur la chasse.

Hypothèse - Nouvelle campagne de menaces

Le hub de contenu offre des solutions basées sur les campagnes de menaces et basées sur un domaine pour rechercher des attaques spécifiques. Dans les étapes suivantes, vous installez l’un de ces types de solutions.

  1. Accédez au hub de contenu.

  2. Installez une campagne de menace ou une solution basée sur un domaine comme la détection des vulnérabilités Log4J ou Apache Tomcat.

    Capture d’écran montrant le hub de contenu en mode Grille avec les solutions Log4J et Apache sélectionnées.

  3. Une fois la solution installée, dans Microsoft Sentinel, accédez à Chasse.

  4. Sélectionnez l’onglet Requêtes .

  5. Recherchez par nom de la solution ou filtrage par Nom source de la solution.

  6. Sélectionnez la requête et Exécuter la requête.

Hypothèse - Détection des lacunes

La carte MITRE ATT&CK vous aide à identifier des lacunes spécifiques dans votre couverture de détection. Utilisez des requêtes de chasse prédéfinies pour des techniques MITRE ATT&CK spécifiques comme point de départ pour développer une nouvelle logique de détection.

  1. Accédez à la page MITRE ATT&CK (préversion).

  2. Désélectionnez les éléments dans le menu déroulant Actif.

  3. Sélectionnez Requêtes de chasse dans le filtre Simulé pour voir les techniques auxquelles des requêtes de chasse sont associées.

    Capture d’écran montrant la page MITRE ATT&CK avec l’option pour les requêtes de chasse simulées sélectionnée.

  4. Sélectionnez le carte avec la technique souhaitée.

  5. Sélectionnez le lien Affichage en regard de Requêtes de chasse en bas du volet d’informations. Ce lien vous permet d’accéder à une vue filtrée de l’onglet Requêtes de la page Chasse en fonction de la technique que vous avez sélectionnée.

    Capture d’écran montrant la vue carte MITRE ATT&CK avec le lien Vue des requêtes de chasse.

  6. Sélectionnez toutes les requêtes pour cette technique.

Créer une chasse

Il existe deux méthodes principales pour créer une chasse.

  1. Si vous avez commencé avec une hypothèse où vous avez sélectionné des requêtes, sélectionnez le menu > déroulant Actions de chasse Créer une nouvelle chasse. Toutes les requêtes que vous avez sélectionnées sont clonées pour cette nouvelle chasse.

    Capture d’écran montrant les requêtes sélectionnées et l’option de menu Créer une chasse sélectionnée.

  2. Si vous n’avez pas encore choisi les requêtes, sélectionnez l’onglet >Chasses (préversion)Nouvelle chasse pour créer une chasse vide.

    Capture d’écran montrant le menu permettant de créer une chasse vide sans requête présélectionnée.

  3. Renseignez le nom de la chasse et les champs facultatifs. La description est un bon endroit pour verbaliser votre hypothèse. Le menu déroulant Hypothèse est l’endroit où vous définissez la status de votre hypothèse de travail.

  4. Sélectionnez Créer pour commencer.

    Capture d’écran montrant la page de création de la chasse avec le nom de la chasse, la description, le propriétaire, le status et l’état de l’hypothèse.

Afficher les détails de la chasse

  1. Sélectionnez l’onglet Chasses (préversion) pour afficher votre nouvelle chasse.

  2. Sélectionnez le lien de chasse par nom pour afficher les détails et effectuer des actions.

    Capture d’écran montrant une nouvelle chasse sous l’onglet Chasse.

  3. Affichez le volet d’informations avec le nom de la chasse, la description, le contenu, l’heure de la dernière mise à jour et l’heure de création.

  4. Notez les onglets des requêtes, des signets et desentités.

    Capture d’écran montrant les détails de la chasse.

Onglet Requêtes

L’onglet Requêtes contient des requêtes de chasse spécifiques à cette chasse. Ces requêtes sont des clones des originaux, indépendants de tous les autres dans l’espace de travail. Mettez à jour ou supprimez-les sans impact sur votre ensemble global de requêtes de chasse ou de requêtes dans d’autres chasses.

Ajouter une requête à la chasse

  1. Sélectionnez Actions> de requêteAjouter des requêtes à rechercher
  2. Sélectionnez les requêtes que vous souhaitez ajouter. Capture d’écran montrant le menu Actions de requête dans la page de l’onglet Requêtes.

Exécuter des requêtes

  1. Sélectionnez Exécuter toutes les requêtes ou choisissez des requêtes spécifiques, puis sélectionnez Exécuter les requêtes sélectionnées.
  2. Sélectionnez Annuler pour annuler l’exécution de la requête à tout moment.

Gérer les requêtes

  1. Cliquez avec le bouton droit sur une requête et sélectionnez l’une des options suivantes dans le menu contextuel :

    • Run
    • Edit
    • Clone
    • Supprimer
    • Créer une règle d’analyse

    Capture d’écran montrant les options de menu contextuel de clic droit sous l’onglet Requêtes d’une chasse.

    Ces options se comportent comme la table de requêtes existante dans la page Chasse , sauf que les actions s’appliquent uniquement dans cette chasse. Lorsque vous choisissez de créer une règle d’analyse, le nom, la description et la requête KQL sont préremplies dans la création de la nouvelle règle. Un lien est créé pour afficher la nouvelle règle d’analyse trouvée sous Règles d’analyse associées.

    Capture d’écran montrant les détails de la chasse avec la règle d’analyse associée.

Afficher les résultats

Cette fonctionnalité vous permet de voir les résultats des requêtes de repérage dans l’expérience de recherche Log Analytics. À partir de là, analysez vos résultats, affinez vos requêtes et créez des signets pour enregistrer des informations et examiner plus en détail les résultats des lignes individuelles.

  1. Sélectionnez le bouton Afficher les résultats .
  2. Si vous effectuez un pivot vers une autre partie du portail Microsoft Sentinel, revenez à l’expérience de recherche dans les journaux LA à partir de la page de chasse, tous vos onglets de requête LA restent.
  3. Ces onglets de requête LA sont perdus si vous fermez l’onglet du navigateur. Si vous souhaitez conserver les requêtes à long terme, vous devez enregistrer la requête, créer une nouvelle requête de chasse ou la copier dans un commentaire pour une utilisation ultérieure dans la chasse.

Ajouter un signet

Lorsque vous trouvez des résultats intéressants ou des lignes de données importantes, ajoutez ces résultats à la chasse en créant un signet. Pour plus d’informations, consultez Utiliser des signets de chasse pour les investigations de données.

  1. Sélectionnez la ou les lignes souhaitées.

  2. Au-dessus du tableau de résultats, sélectionnez Ajouter un signet. Capture d’écran montrant le volet Ajouter un signet avec des champs facultatifs renseignés.

  3. Nommez le signet.

  4. Définissez la colonne d’heure de l’événement.

  5. Mapper les identificateurs d’entité.

  6. Définissez les tactiques et techniques MITRE.

  7. Ajoutez des balises et ajoutez des notes.

    Les signets conservent les résultats de ligne, la requête KQL et l’intervalle de temps spécifiques qui ont généré le résultat.

  8. Sélectionnez Créer pour ajouter le signet à la chasse.

Afficher les signets

  1. Accédez à l’onglet signet de la chasse pour afficher vos signets.

    Capture d’écran montrant un signet avec tous ses détails et le menu d’action chasses ouvert.

  2. Sélectionnez un signet souhaité et effectuez les actions suivantes :

    • Sélectionnez des liens d’entité pour afficher la page d’entité UEBA correspondante.
    • Affichez les résultats bruts, les balises et les notes.
    • Sélectionnez Afficher la requête source pour afficher la requête source dans Log Analytics.
    • Sélectionnez Afficher les journaux des signets pour afficher le contenu des signets dans le tableau des signets de chasse Log Analytics.
    • Sélectionnez le bouton Examiner pour afficher le signet et les entités associées dans le graphique d’investigation.
    • Sélectionnez le bouton Modifier pour mettre à jour les balises, les tactiques et techniques MITRE, ainsi que les notes.

Interagir avec les entités

  1. Accédez à l’onglet Entités de votre chasse pour afficher, rechercher et filtrer les entités contenues dans votre chasse. Cette liste est générée à partir de la liste des entités dans les signets. L’onglet Entités résout automatiquement les entrées dupliquées.

  2. Sélectionnez les noms d’entité pour accéder à la page d’entité UEBA correspondante.

  3. Cliquez avec le bouton droit sur l’entité pour effectuer des actions appropriées aux types d’entités, telles que l’ajout d’une adresse IP à TI ou l’exécution d’un playbook spécifique à un type d’entité.

    Capture d’écran montrant le menu contextuel des entités.

Ajouter des commentaires

Les commentaires sont un excellent endroit pour collaborer avec des collègues, conserver des notes et documenter les résultats.

  1. Sélectionnez

  2. Tapez et mettez en forme votre commentaire dans la zone d’édition.

  3. Ajoutez un résultat de requête en tant que lien pour permettre aux collaborateurs de comprendre rapidement le contexte.

  4. Sélectionnez le bouton Commentaire pour appliquer vos commentaires.

    Capture d’écran montrant la zone d’édition des commentaires avec une requête LA en tant que lien.

Créer des incidents

Il existe deux choix pour la création d’incidents lors de la chasse.

Option 1 : Utiliser des signets.

  1. Sélectionnez un ou plusieurs signets.

  2. Sélectionnez le bouton Actions d’incident.

  3. Sélectionnez Créer un incident ou Ajouter à un incident existant.

    Capture d’écran montrant le menu Actions d’incident à partir de la fenêtre signets.

    • Pour Créer un incident, suivez les étapes guidées. L’onglet Signets est prérempli avec vos signets sélectionnés.
    • Pour Ajouter à un incident existant, sélectionnez l’incident, puis sélectionnez le bouton Accepter .

Option 2 : utiliser les actions de chasse.

  1. Sélectionnez le menu >Actions de chasse Créer un incident, puis suivez les étapes guidées.

    Capture d’écran montrant le menu des actions de chasse à partir de la fenêtre signets.

  2. Pendant l’étape Ajouter des signets , utilisez l’action Ajouter un signet pour choisir des signets de la chasse à ajouter à l’incident. Vous êtes limité aux signets qui ne sont pas affectés à un incident.

  3. Une fois l’incident créé, il est lié sous la liste Incidents associés pour cette chasse.

Mettre à jour status

  1. Lorsque vous avez capturé suffisamment de preuves pour valider ou invalider votre hypothèse, mettez à jour votre état d’hypothèse.

    Capture d’écran montrant la sélection du menu état de l’hypothèse.

  2. Lorsque toutes les actions associées à la chasse sont terminées, telles que la création de règles analytiques, d’incidents ou l’ajout d’indicateurs de compromission (IIC) à TI, fermez la chasse.

    Capture d’écran montrant la sélection du menu État de la chasse.

Ces mises à jour status sont visibles sur la page principale Chasse et sont utilisées pour suivre les métriques.

Suivre les métriques

Suivez les résultats tangibles de l’activité de chasse à l’aide de la barre de métriques sous l’onglet Chasses . Les métriques indiquent le nombre d’hypothèses validées, de nouveaux incidents créés et de nouvelles règles analytiques créées. Utilisez ces résultats pour définir des objectifs ou célébrer les jalons de votre programme de chasse.

Capture d’écran montrant les métriques de chasse.

Étapes suivantes

Dans cet article, vous avez appris à mener une enquête de chasse avec la fonctionnalité chasses dans Microsoft Sentinel.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

  • Last updated on