Comprendre les fonctionnalités d’investigation des incidents et de gestion des cas de Microsoft Sentinel
Microsoft Sentinel vous offre une plateforme complète de gestion des cas pour examiner et gérer les incidents de sécurité. Les incidents sont le nom de Microsoft Sentinel pour les fichiers cas qui contiennent une chronologie complète et constamment mise à jour d’une menace de sécurité, qu’il s’agisse d’éléments de preuve individuels (alertes), de suspects et de parties intéressées (entités), d’insights collectés et organisés par des experts en sécurité et de modèles IA/Machine Learning, ou de commentaires et journaux de toutes les actions effectuées au cours de l’enquête.
L’expérience d’investigation des incidents dans Microsoft Sentinel commence par la page Incidents, une nouvelle expérience conçue pour vous donner tout ce dont vous avez besoin pour votre investigation en un seul endroit. L’objectif clé de cette nouvelle expérience est d’augmenter l’efficacité et l’efficacité de votre SOC, en réduisant son délai moyen de résolution (MTTR).
Cet article vous guide à travers les phases d’une investigation d’incident classique, en présentant tous les affichages et outils disponibles pour vous aider.
Augmenter la maturité de votre SOC
Microsoft Sentinel vous donne les outils pour aider vos opérations de sécurité (SecOps) à atteindre un niveau de maturité supérieur.
Normaliser les processus
Les tâches d’incident sont des listes de flux de travail de tâches que les analystes doivent suivre pour garantir une norme de diligence uniforme et éviter que des étapes cruciales ne soient manquées. Les responsables et les ingénieurs SOC peuvent développer ces listes de tâches et les faire appliquer automatiquement à différents groupes d’incidents, selon le cas ou dans tous les domaines. Les analystes SOC peuvent ensuite accéder aux tâches affectées dans chaque incident, en les marquant à mesure qu’elles sont terminées. Les analystes peuvent également ajouter manuellement des tâches à leurs incidents ouverts, soit en tant que rappels automatiques, soit pour le bénéfice d’autres analystes qui peuvent collaborer sur l’incident (par exemple, en raison d’un changement ou d’une escalade).
Découvrez-en plus sur les tâches d’incident.
Auditer la gestion des incidents
Le journal d’activité des incidents suit les actions effectuées sur un incident, qu’ils soient initiés par des humains ou des processus automatisés, et les affiche avec tous les commentaires sur l’incident. Vous pouvez également ajouter vos propres commentaires ici. Il vous donne un enregistrement complet de tout ce qui s’est passé, garantissant la rigueur et la responsabilité.
Enquêter de manière efficace et efficiente
Voir la chronologie
Tout d’abord, en tant qu’analyste, la question la plus fondamentale à laquelle vous voulez répondre est la suivante : pourquoi cet incident est-il porté à mon attention ? La saisie de la page des détails d’un incident répond à cette question : au centre de l’écran, vous verrez le widget Chronologie des incidents . La chronologie est le journal de toutes les alertes qui représentent tous les événements enregistrés pertinents pour l’enquête, dans l’ordre dans lequel ils se sont produits. La chronologie affiche également des signets, des instantanés de preuves collectées lors de la chasse et ajoutés à l’incident. Affichez les détails complets d’un élément de cette liste en le sélectionnant. Un grand nombre de ces détails, tels que l’alerte d’origine, la règle d’analyse qui l’a créée et les signets éventuels, apparaissent sous forme de liens que vous pouvez sélectionner pour approfondir vos connaissances et en savoir plus.
Pour en savoir plus sur ce que vous pouvez faire, consultez la chronologie des incidents.
Apprendre à partir d’incidents similaires
Si quelque chose que vous avez vu jusqu’à présent dans votre incident semble familier, il peut y avoir une bonne raison. Microsoft Sentinel garde une longueur d’avance sur vous en vous montrant les incidents les plus similaires à ceux ouverts. Le widget Incidents similaires affiche les informations les plus pertinentes sur les incidents considérés comme similaires, y compris leur date et heure de dernière mise à jour, le dernier propriétaire, le dernier état (y compris, s’ils sont fermés, la raison de leur fermeture) et la raison de la similitude.
Cela peut être bénéfique pour votre investigation de plusieurs façons :
- Identifier des incidents simultanés qui pourraient faire partie d’une stratégie d’attaque plus large.
- Utilisez des incidents similaires comme points de référence pour votre enquête en cours. Découvrez comment ils ont été traités.
- Identifiez les propriétaires d’incidents similaires passés pour tirer parti de leurs connaissances.
Le widget vous montre les 20 incidents les plus similaires. Microsoft Sentinel détermine quels incidents sont similaires en fonction d’éléments communs, notamment les entités, la règle d’analytique source et les détails de l’alerte. À partir de ce widget, vous pouvez accéder directement aux pages complètes de détails de l’une de ces incidents, tout en conservant la connexion à l’incident actuel.
En savoir plus sur les incidents similaires vous permettent de faire.
Examiner les principaux insights
Ensuite, en ayant les grandes lignes de ce qui s’est passé (ou qui se passe toujours), et en ayant une meilleure compréhension du contexte, vous serez curieux de savoir quelles informations intéressantes Microsoft Sentinel a déjà trouvées pour vous. Il pose automatiquement les grandes questions sur les entités de votre incident et affiche les réponses principales dans le widget Insights principaux, visibles sur le côté droit de la page des détails de l’incident. Ce widget montre une collection d’informations basées à la fois sur l’analyse machine-learning et la curation d’équipes de haut niveau d’experts en sécurité.
Il s’agit d’un sous-ensemble spécialement sélectionné des insights qui apparaissent sur les pages d’entité, mais dans ce contexte, les insights de toutes les entités de l’incident sont présentés ensemble, ce qui vous donne une image plus complète de ce qui se passe. L’ensemble complet d’insights s’affiche sous l’onglet Entités, pour chaque entité séparément (voir ci-dessous).
Le widget Top insights répond à des questions sur l’entité relative à son comportement par rapport à ses homologues et à son propre historique, à sa présence dans les watchlists ou dans le renseignement sur les menaces, ou tout autre type d’occurrence inhabituelle qui lui est associée.
La plupart de ces insights contiennent des liens vers des informations supplémentaires. Ces liens ouvrent le panneau Journaux en contexte, où vous verrez la requête source pour cet insight, ainsi que ses résultats.
Afficher les entités
Maintenant que vous avez un peu de contexte et que certaines questions de base ont répondu, vous voudrez obtenir un peu plus de profondeur sur les principaux joueurs de cette histoire. Les noms d’utilisateur, les noms d’hôte, les adresses IP, les noms de fichiers et d’autres types d’entités peuvent tous être des « personnes intéressantes » dans votre enquête. Microsoft Sentinel les trouve tous pour vous et les affiche au premier plan dans le widget Entités, à côté de la chronologie. La sélection d’une entité à partir de ce widget vous permet d’accéder à la liste de cette entité sous l’onglet Entités de la même page d’incident.
L’onglet Entités contient une liste de toutes les entités dans l’incident. Lorsqu’une entité de la liste est sélectionnée, un panneau latéral s’ouvre contenant un affichage basé sur la page d’entité. Le panneau latéral contient trois cartes :
Les informations contiennent des informations de base sur l’entité. Pour une entité de compte d’utilisateur, il peut s’agir d’éléments tels que le nom d’utilisateur, le nom de domaine, l’identificateur de sécurité (SID), les informations organisationnelles, les informations de sécurité, etc.
Chronologie contient une liste des alertes qui présentent cette entité et les activités que l’entité a effectuées, telles que collectées à partir des journaux dans lesquels l’entité apparaît.
Insights contient des réponses aux questions sur l’entité relative à son comportement par rapport à ses homologues et à son propre historique, à sa présence dans les watchlists ou dans le renseignement sur les menaces, ou tout autre type d’événement inhabituel le concernant. Ces réponses sont les résultats de requêtes définies par les chercheurs en sécurité Microsoft qui fournissent des informations de sécurité précieuses et contextuelles sur les entités, basées sur des données provenant d’une collection de sources.
Depuis novembre 2023, le panneau Insights comprend la nouvelle génération d’insights, disponibles en préversion, sous la forme de widgets d’enrichissement, en plus des insights existants. Pour tirer parti de ces nouveaux widgets, vous devez activer l’expérience de widgets.
Selon le type d’entité, vous pouvez effectuer un certain nombre d’actions supplémentaires à partir de ce panneau latéral :
- Effectuez un pivot vers la page d’entité complète de l’entité pour obtenir encore plus de détails sur un intervalle de temps plus long ou lancer l’outil d’investigation graphique centré sur cette entité.
- Exécutez un playbook pour effectuer des actions de réponse ou de correction spécifiques sur l’entité (en préversion).
- Classifiez l’entité en tant qu’indicateur de compromission (IOC) et ajoutez-la à votre liste d’informations sur les menaces.
Chacune de ces actions est actuellement prise en charge pour certains types d’entités et non pour d’autres. Le tableau suivant indique les actions prises en charge pour les types d’entités :
| Actions disponibles ▶ Types d’entités ▼ |
Afficher tous les détails (dans la page d’entité) |
Ajouter à TI * | Exécuter le playbook * (Préversion) |
|---|---|---|---|
| Compte d’utilisateur | ✔ | ✔ | |
| Hôte | ✔ | ✔ | |
| Adresse IP | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Nom de domaine | ✔ | ✔ | |
| Fichier (hachage) | ✔ | ✔ | |
| Ressource Azure | ✔ | ||
| Appareil IoT | ✔ |
* Pour les entités pour lesquelles les actions Ajouter à TI ou Exécuter le guide opérationnelsont disponibles, vous pouvez effectuer ces actions directement depuis le widget Entités de l’onglet Vue d’ensemble, sans quitter la page des incidents.
Explorer les journaux
Maintenant, vous voulez entrer dans les détails pour savoir ce qui s’est exactement passé? À partir de presque tous les endroits mentionnés ci-dessus, vous pouvez explorer les alertes individuelles, les entités, les insights et d’autres éléments contenus dans l’incident, en affichant la requête d’origine et ses résultats. Ces résultats s’affichent dans l’écran Journaux (analytique des journaux d'activité) qui s’affiche ici en tant qu’extension de panneau de la page des détails de l’incident, de sorte que vous ne quittez pas le contexte de l’enquête.
Gardez vos enregistrements dans l’ordre
Enfin, dans un souci de transparence, de responsabilité et de continuité, vous souhaitez obtenir un enregistrement de toutes les actions qui ont été effectuées sur l’incident, que ce soit par des processus automatisés ou par des personnes. Le journal d’activité des incidents affiche toutes ces activités. Vous pouvez également voir tous les commentaires qui ont été faits et ajouter les vôtres. Le journal d’activité est constamment actualisé automatiquement, même lorsqu’il est ouvert, ce qui vous permet de voir les modifications apportées en temps réel.
Étapes suivantes
Dans ce document, vous avez appris comment l’expérience d’enquête sur les incidents dans Microsoft Sentinel vous aide à effectuer une investigation dans un contexte unique. Pour plus d’informations sur la gestion et l’examen des incidents, consultez les articles suivants :
- Utiliser des tâches pour gérer les incidents dans Microsoft Sentinel
- Examiner les entités avec des pages d’entités dans Microsoft Sentinel.
- Automatiser la gestion des incidents dans Microsoft Sentinel avec des règles d’automatisation.
- Identifier les menaces avancées avec l’analyse du comportement des utilisateurs et des entités (User and Entity Behavior Analytics, UEBA) dans Microsoft Sentinel
- Chasse des menaces de sécurité.