Naviguer et examiner les incidents dans Microsoft Sentinel
Microsoft Sentinel vous offre une plateforme complète de gestion des cas pour examiner les incidents de sécurité. La page Détails de l’incident est votre emplacement central à partir duquel exécuter votre enquête, en collectant toutes les informations pertinentes et tous les outils et tâches applicables dans un seul écran.
Cet article vous présente tous les volets et options disponibles sur la page des détails de l’incident, ce qui vous aide à naviguer et à examiner vos incidents plus rapidement, de manière efficace et efficiente, et à réduire le temps moyen de résolution (MTTR).
Consultez les instructions de la version précédente de l’investigation des incidents.
Les incidents sont vos dossiers de cas qui contiennent une agrégation de toutes les preuves pertinentes pour des enquêtes spécifiques. Chaque incident est créé (ou ajouté à) en fonction d’éléments de preuve (alertes) qui ont été générés par des règles d’analytique ou importés à partir de produits de sécurité tiers qui produisent leurs propres alertes. Les incidents héritent des entités contenues dans les alertes, ainsi que des propriétés des alertes, telles que la gravité, l’état et les tactiques et techniques MITRE ATT&CK .
Prérequis
L’attribution de rôle Répondeur Microsoft Sentinel est requise pour examiner les incidents.
En savoir plus sur les rôles dans Microsoft Sentinel.
Si vous avez un utilisateur invité qui doit attribuer des incidents, l’utilisateur doit se voir attribuer le rôle Lecteur de répertoire dans votre locataire Microsoft Entra. Les utilisateurs ordinaires (non invités) se voient attribuer ce rôle par défaut.
Naviguer et trier les incidents
Page Incidents
Dans le menu de navigation Microsoft Sentinel, sous Gestion des menaces, sélectionnez Incidents.
La page Incidents vous fournit des informations de base sur tous vos incidents ouverts.
En haut de l’écran, vous avez le nombre d’incidents ouverts, qu’ils soient nouveaux ou actifs, et le nombre d’incidents ouverts par gravité. Vous avez également la bannière avec des actions que vous pouvez effectuer en dehors d’un incident spécifique, soit sur la grille dans son ensemble, soit sur plusieurs incidents sélectionnés.
Dans le volet central, vous disposez de la grille des incidents, d’une liste d’incidents filtrés par les contrôles de filtrage en haut de la liste et d’une barre de recherche pour rechercher des incidents spécifiques.
Sur le côté droit, vous avez un volet d’informations qui affiche des informations importantes sur l’incident mis en surbrillance dans la liste centrale, ainsi que des boutons permettant d’effectuer certaines actions spécifiques concernant cet incident.
Votre équipe des opérations de sécurité peut avoir des règles d’automatisation en place pour effectuer un triage de base sur les nouveaux incidents et les affecter au personnel approprié.
Dans ce cas, filtrez la liste des incidents par propriétaire pour limiter la liste aux incidents qui vous sont attribués ou à votre équipe. Cet ensemble filtré représente votre charge de travail personnelle.
Sinon, vous pouvez effectuer vous-même le triage de base. Vous pouvez commencer par filtrer la liste des incidents en fonction des critères de filtrage disponibles, qu’il s’agisse de l’état, de la gravité ou du nom du produit. Pour plus d’informations, consultez Rechercher des incidents.
Triez un incident spécifique et effectuez des actions sur celui-ci immédiatement, directement à partir du volet d’informations de la page Incidents, sans avoir à entrer la page complète des détails de l’incident.
Examiner les incidents Microsoft Defender XDR dans Microsoft Defender XDR : suivez le lien Examiner dans Microsoft Defender XDR pour accéder à l’incident parallèle dans le portail Defender. Toutes les modifications que vous apportez à l’incident dans Defender XDR seront synchronisées avec le même incident dans Microsoft Sentinel.
Ouvrez la liste des tâches affectées : Les incidents pour lesquels des tâches ont été affectées affichent le nombre de tâches terminées et le nombre total de tâches, ainsi qu’un lien Afficher les détails complets . Suivez le lien pour ouvrir le panneau Tâches d’incident afin d’afficher la liste des tâches associées à cet incident.
Attribuez la propriété de l’incident à un utilisateur ou à un groupe en sélectionnant dans la liste déroulante Propriétaire .
Les utilisateurs et groupes récemment sélectionnés s’affichent en haut de la liste déroulante illustrée.
Mettez à jour l’état de l’incident (par exemple, de Nouveau à Actif ou Fermé) en sélectionnant dans la liste déroulante État . Lors de la fermeture d’un incident, vous devez spécifier une raison. Pour obtenir des instructions, voir ci-dessous.
Modifiez la gravité de l’incident en sélectionnant dans la liste déroulante Gravité .
Ajoutez des étiquettes pour classer vos incidents. Vous devrez peut-être faire défiler vers le bas du volet d’informations pour voir où ajouter des balises.
Ajoutez des commentaires pour enregistrer vos actions, idées, questions et bien plus encore. Vous devrez peut-être faire défiler vers le bas du volet d’informations pour voir où ajouter des commentaires.
Si les informations du volet d’informations sont suffisantes pour demander d’autres actions de correction ou d’atténuation, sélectionnez le bouton Actions en bas du volet d’informations pour effectuer l’une des opérations suivantes :
Examiner : utilisez l’outil d’investigation graphique pour découvrir les relations entre les alertes, les entités et les activités, à la fois au sein de cet incident et entre d’autres incidents.
Exécuter le playbook (préversion) : exécutez un playbook sur cet incident pour effectuer des actions d’enrichissement, de collaboration ou de réponse particulières, telles que vos ingénieurs SOC peuvent avoir mis à disposition.
Créer une règle d’automatisation : créez une règle d’automatisation qui s’exécutera uniquement sur des incidents comme celui-ci (générés par la même règle d’analytique) à l’avenir, afin de réduire votre charge de travail future ou de tenir compte d’une modification temporaire des exigences (par exemple, pour un test d’intrusion).
Créer une équipe (préversion) : créez une équipe dans Microsoft Teams pour collaborer avec d’autres personnes ou équipes au sein des différents services sur la gestion de l’incident.
Si vous avez besoin d’informations supplémentaires sur l’incident, sélectionnez Afficher les détails complets dans le volet d’informations pour ouvrir et voir les détails de l’incident dans leur intégralité, y compris les alertes et les entités dans l’incident, une liste d’incidents similaires et les principales informations sélectionnées.
Consultez les sections suivantes de cet article pour suivre un parcours d’investigation classique, en apprenant dans le processus toutes les informations que vous y verrez et toutes les actions que vous pouvez effectuer.
Examiner votre incident en profondeur
Microsoft Sentinel offre une expérience complète d’investigation des incidents et de gestion des cas, qui vous permet d’examiner, de corriger et de résoudre les incidents plus rapidement et plus efficacement. Voici la page de détails du nouvel incident :
Préparer la base correctement
Lorsque vous configurez pour examiner un incident, assemblez les éléments dont vous aurez besoin pour diriger votre flux de travail. Vous trouverez les outils suivants dans une barre de boutons en haut de la page de l’incident, juste en dessous du titre.
Sélectionnez Tâches pour afficher les tâches affectées à cet incident, ou pour ajouter vos propres tâches.
En savoir plus sur l’utilisation des tâches d’incident pour améliorer la standardisation des processus dans votre SOC.
Sélectionnez Journal d’activité pour voir si des actions ont déjà été effectuées sur cet incident (par des règles d’automatisation, par exemple) et les commentaires qui ont été faits. Vous pouvez également ajouter vos propres commentaires ici. En savoir plus sur le journal d’activité ci-dessous.
Sélectionnez Journaux à tout moment pour ouvrir une fenêtre de requête Log Analytics complète et vide à l’intérieur de la page d’incident. Composez et exécutez une requête, liée ou non, sans quitter l’incident. Ainsi, lorsque l’inspiration soudaine vous pousse à poursuivre une idée, ne vous inquiétez pas d’interrompre votre flux. Les journaux sont là pour vous.
En savoir plus sur les journaux d’activité ci-dessous.
Vous verrez également le bouton Actions d’incident en face des onglets Vue d’ensemble et Entités . Ici, vous avez à votre disposition les mêmes actions décrites ci-dessus que celles disponibles à partir du bouton Actions dans le volet d’informations de la page de grille Incidents . Le seul absent est Investigation, qui est disponible dans le panneau de détails de gauche.
Pour récapituler les actions disponibles sous le bouton Actions d’incident :
Exécuter le playbook : exécutez un playbook sur cet incident pour effectuer des actions d’enrichissement, de collaboration ou de réponse particulières, telles que vos ingénieurs SOC peuvent avoir mis à disposition.
Créer une règle d’automatisation : créez une règle d’automatisation qui s’exécutera uniquement sur des incidents comme celui-ci (générés par la même règle d’analytique) à l’avenir, afin de réduire votre charge de travail future ou de tenir compte d’une modification temporaire des exigences (par exemple, pour un test d’intrusion).
Créer une équipe (préversion) : créez une équipe dans Microsoft Teams pour collaborer avec d’autres personnes ou équipes au sein des différents services sur la gestion de l’incident. Si une équipe a déjà été créée pour cet incident, cet élément de menu s’affiche sous la forme Ouvrir Teams.
Obtenir une image complète sur la page des détails de l’incident
Le volet gauche de la page détails de l’incident contient les mêmes informations détaillées que celles que vous avez vues sur la page Incidents à droite de la grille, et elles sont pratiquement inchangées par rapport à la version précédente. Ce panneau est toujours affiché, quel que soit l’onglet affiché sur le reste de la page. À partir de là, vous pouvez voir les informations de base de l’incident et explorer les manières suivantes :
Sélectionnez Événements, Alertes ou Signets pour ouvrir le panneau Journauxdans la page d’incident. Le panneau Journaux s’affiche avec la requête de l’une des trois que vous avez sélectionnées, et vous pouvez parcourir les résultats de la requête en profondeur, sans revenir à l’incident. En savoir plus sur les Journaux.
Sélectionnez l’une des entrées sous Entités pour l’afficher sous l’onglet Entités. (Seules les quatre premières entités de l’incident sont affichées ici. Affichez les autres en sélectionnant Afficher tout, ou dans le widget Entités sous l’onglet Vue d’ensemble, ou sous l’onglet Entités.) Découvrez ce que vous pouvez faire sous l’onglet Entités.
Vous pouvez également sélectionner Examiner pour ouvrir l’incident dans l’outil d’investigation graphique qui schématise les relations entre tous les éléments de l’incident.
Ce panneau peut également être réduit dans la marge gauche de l’écran en sélectionnant la petite flèche double pointant vers la gauche en regard de la liste déroulante Propriétaire . Toutefois, même dans cet état réduit, vous pourrez toujours modifier le propriétaire, l’état et la gravité.
Le reste de la page de détails de l’incident est divisé en deux onglets, Vue d’ensemble et Entités.
L’onglet Vue d’ensemble contient les widgets suivants, chacun d’eux représentant un objectif essentiel de votre enquête.
Le widget Chronologie affiche la chronologie des alertes et des signets dans l’incident, qui peut vous aider à reconstruire la chronologie de l’activité d’un attaquant. Sélectionnez un élément individuel pour afficher tous ses détails, ce qui vous permet d’explorer davantage.
En savoir plus sur le widget Chronologie des incidents ci-dessous.
Dans le widget Incidents similaires (préversion), vous verrez une collection pouvant afficher jusqu’aux 20 autres incidents qui ressemblent le plus à l’incident actuel. Ceci vous permet de voir l’incident dans un contexte plus large et vous aide à diriger votre investigation.
En savoir plus sur le widget Incidents similaires ci-dessous.
Le widget Entités affiche toutes les entités qui ont été identifiées dans les alertes. Ce sont les objets qui ont joué un rôle dans l’incident, que ce soient des utilisateurs, des appareils, des adresses, des fichiers ou des objets d’autres types. Sélectionnez une entité pour afficher ses détails complets (qui seront affichés sous l’onglet Entités, voir ci-dessous).
Enfin, dans le widget Informations principales, vous verrez une collection de résultats de requêtes définies par les chercheurs en sécurité Microsoft qui fournissent des informations de sécurité contextuelles précieuses sur toutes les entités de l’incident, basées sur des données provenant d’une collection de sources.
En savoir plus sur le widget Informations principales ci-dessous.
L’onglet Entités affiche la liste complète des entités dans l’incident (les mêmes que celles du widget Entités ci-dessus). Lorsque vous sélectionnez une entité dans le widget, vous êtes dirigé ici pour voir le dossier complet de l’entité, ses informations d’identification, une chronologie de son activité (à la fois dans et en dehors de l’incident) et l’ensemble complet d’informations sur l’entité, comme vous le feriez dans sa page d’entité complète (mais limité à la période appropriée à l’incident).
Chronologie de l’incident
Le widget Chronologie affiche la chronologie des alertes et des signets dans l’incident, qui peut vous aider à reconstruire la chronologie de l’activité d’un attaquant.
Vous pouvez rechercher la liste des alertes et des signets, ou filtrer la liste par gravité, tactique ou type de contenu (alerte ou signet) pour vous aider à trouver l’élément que vous souhaitez poursuivre.
L’affichage initial de la chronologie vous indique immédiatement plusieurs éléments importants sur chaque élément, qu’il s’agisse d’une alerte ou d’un signet :
- Date et heure de la création de l’alerte ou du signet.
- Type d’élément, d’alerte ou de signet, indiqué par une icône et une info-bulle lorsque vous pointez sur l’icône.
- Nom de l’alerte ou du signet, en gras sur la première ligne de l’élément.
- Gravité de l’alerte, indiquée par une bande de couleurs le long du bord gauche et sous forme de mots au début du « sous-titre » en trois parties de l’alerte.
- Fournisseur d’alerte, dans la deuxième partie du sous-titre. Pour les signets, le créateur du signet.
- Tactiques MITRE ATT&CK associées à l’alerte, indiquées par des icônes et des info-bulles, dans la troisième partie du sous-titre.
Pointez sur n’importe quelle icône ou élément de texte incomplet pour afficher une info-bulle avec le texte intégral de cette icône ou de cet élément de texte. Ces info-bulles sont utiles lorsque le texte affiché est tronqué en raison de la largeur limitée du widget. Consultez l’exemple de cette capture d’écran :
Sélectionnez une alerte ou un signet individuel pour afficher ses détails complets.
Les détails de l’alerte incluent la gravité et l’état de l’alerte, les règles analytiques qui l’ont générée, le produit qui a généré l’alerte, les entités mentionnées dans l’alerte, les tactiques et techniques MITRE ATT&CK associées, et l’ID d’alerte système interne.
Sélectionnez le lien ID d’alerte système pour explorer davantage l’alerte, en ouvrant le panneau Journaux et en affichant la requête qui a généré les résultats et les événements qui ont déclenché l’alerte.
Les détails des signets ne sont pas exactement identiques aux détails d’alerte ; ils incluent également des entités, des tactiques et techniques MITRE ATT&CK et l’ID de signet, mais aussi le résultat brut et les informations sur le créateur de signet.
Sélectionnez le lien Afficher les journaux de signet pour ouvrir le panneau Journaux et afficher la requête qui a généré les résultats enregistrés en tant que signet.
À partir du widget chronologie des incidents, vous pouvez également effectuer les actions suivantes sur les alertes et les signets :
Exécutez un playbook sur l’alerte pour prendre des mesures immédiates pour atténuer une menace. Vous devez parfois bloquer ou isoler une menace avant de poursuivre l’enquête. En savoir plus sur l’exécution de playbooks sur des alertes.
Supprimer une alerte dans un incident. Vous pouvez supprimer les alertes ajoutées aux incidents après leur création si vous les jugez non pertinentes. En savoir plus sur la suppression des alertes des incidents.
Supprimez un signet d’un incident ou modifiez les champs du signet qui peuvent être modifiés (non affichés).
Incidents similaires
En tant qu’analyste des opérations de sécurité, lors de l’examen d’un incident, vous voudrez prêter attention à son contexte plus large. Par exemple, vous voudrez voir si d’autres incidents de ce genre se sont produits auparavant ou se produisent actuellement.
Vous voudrez identifier des incidents simultanés qui pourraient faire partie de la même stratégie d’attaque plus large.
Vous voudrez identifier des incidents similaires dans le passé, pour les utiliser comme points de référence pour votre investigation actuelle.
Vous voudrez identifier les propriétaires des incidents similaires passés, pour trouver les personnes dans votre SOC qui peuvent fournir plus de contexte ou à qui vous pouvez faire remonter l’investigation.
Le widget Incidents similaires de la page Détails de l’incident présente jusqu’aux 20 autres incidents les plus proches de l’incident actuel. La similarité est calculée par des algorithmes Microsoft Sentinel internes, et les incidents sont triés et affichés dans l’ordre décroissant de similarité.
Comme avec le widget chronologie des incidents, vous pouvez pointer sur n’importe quel texte qui n’est pas affiché de manière incomplète en raison de la largeur de la colonne pour afficher le texte intégral.
Il existe trois critères d’après lesquels la similarité est déterminée :
Entités similaires : Un incident est considéré comme similaire à un autre incident s’ils incluent les mêmes entités. Plus deux incidents ont d’entités en commun, plus ils sont considérés comme similaires.
Règle similaire : Un incident est considéré comme similaire à un autre incident s’ils ont été créés par la même règle d’analytique.
Détails des alertes similaires : Un incident est considéré comme similaire à un autre incident s’ils partagent le même titre, le même nom de produit et/ou des détails personnalisés.
Les raisons pour lesquelles un incident apparaît dans la liste des incidents similaires sont affichées dans la colonne Raison de la similarité. Pointez sur l’icône Informations pour afficher les éléments communs (entités, nom de la règle ou détails).
La similarité de l’incident est calculée en fonction des données des 14 jours précédant la dernière activité de l’incident, qui correspond à l’heure de fin de l’alerte la plus récente dans l’incident.
La similarité des incidents est recalculée chaque fois que vous entrez dans la page des détails de l’incident : les résultats peuvent donc varier entre les sessions si de nouveaux incidents ont été créés ou mis à jour.
Obtenir les principales informations sur votre incident
Les experts en sécurité de Microsoft Sentinel ont créé des requêtes qui posent automatiquement les grandes questions sur les entités de votre incident. Vous pouvez voir les premières réponses dans le widget Insights principaux, visible à droite de la page des détails de l’incident. Ce widget montre une collection d’informations basées à la fois sur l’analyse machine-learning et la curation d’équipes de haut niveau d’experts en sécurité.
Voici quelques-unes des mêmes informations qui s’affichent sur les pages d’entité, spécialement sélectionnées pour vous aider à trier rapidement et à comprendre l’étendue de la menace. Pour la même raison, des insights pour toutes les entités de l’incident sont présentés ensemble pour vous donner une image plus complète de ce qui se passe.
Voici les informations principales actuellement sélectionnées (la liste est susceptible d’être modifiée) :
- Actions par compte.
- Actions sur compte.
- Insights UEBA.
- Indicateurs de menace liés à l’utilisateur.
- Insights Watchlist (préversion).
- Nombre anormalement élevé d’un événement de sécurité.
- Activité de connexion Windows.
- Connexions distantes d’adresses IP.
- Connexions à distance d’adresse IP avec correspondance TI.
Chacune de ces informations (à l’exception de celles relatives aux watchlists, pour l’instant) contient un lien que vous pouvez sélectionner pour ouvrir la requête sous-jacente dans le panneau Journaux qui s’ouvre dans la page de l’incident. Vous pouvez ensuite explorer les résultats de la requête.
Le délai du widget Informations principales est de 24 heures avant la première alerte de l’incident jusqu’à l’heure de la dernière alerte.
Explorer les entités de l’incident
Le widget Entités affiche toutes les entités qui ont été identifiées dans les alertes de l’incident. Ce sont les objets qui ont joué un rôle dans l’incident, que ce soient des utilisateurs, des appareils, des adresses, des fichiers ou des objets d’autres types.
Vous pouvez rechercher la liste des entités dans le widget entités ou filtrer la liste par type d’entité pour vous aider à trouver une entité.
Si vous savez déjà qu’une entité particulière est un indicateur connu de compromission, sélectionnez les trois points de la ligne de l’entité et choisissez Ajouter à TI pour ajouter l’entité à votre veille des menaces. (Cette option est disponible pour les types d’entités pris en charge.)
Si vous souhaitez déclencher une séquence de réponse automatique pour une entité particulière, sélectionnez les trois points et choisissez Exécuter le playbook (préversion). (Cette option est disponible pour les types d’entités pris en charge.)
Sélectionnez une entité pour afficher ses détails complets. Lorsque vous sélectionnez une entité, vous passez de l’onglet Vue d’ensemble à l’onglet Entités, une autre partie de la page des détails de l’incident.
Onglet Entités
L’onglet Entités affiche une liste de toutes les entités dans l’incident.
Comme le widget entités, cette liste peut également être recherchée et filtrée par type d’entité. Les recherches et les filtres appliqués dans une liste ne s’appliquent pas à l’autre.
Sélectionnez une ligne dans la liste pour que les informations de cette entité soient affichées dans un panneau latéral à droite.
Si le nom de l’entité apparaît sous forme de lien, la sélection du nom de l’entité vous redirige vers la page d’entité complète, en dehors de la page d’investigation des incidents. Pour afficher uniquement le panneau latéral sans quitter l’incident, sélectionnez la ligne dans la liste où l’entité apparaît, mais ne sélectionnez pas son nom.
Vous pouvez effectuer ici les mêmes actions que celles que vous pouvez effectuer à partir du widget de la page de vue d’ensemble. Sélectionnez les trois points dans la ligne de l’entité pour exécuter un playbook ou ajouter l’entité à votre renseignement sur les menaces.
Vous pouvez également effectuer ces actions en sélectionnant le bouton en regard de Afficher les détails complets en bas du panneau latéral. Le bouton lira Ajouter à TI, Exécuter le playbook (préversion) ou Actions d’entité, auquel cas un menu s’affiche avec les deux autres choix.
Le bouton Afficher les détails complets vous redirige vers la page d’entité complète de l’entité.
Le panneau latéral comporte trois cartes :
Les informations contiennent des informations d’identification sur l’entité. Par exemple, pour une entité de compte d’utilisateur, il peut s’agir d’éléments tels que le nom d’utilisateur, le nom de domaine, l’identificateur de sécurité (SID), les informations d’organisation, les informations de sécurité, etc., et pour une adresse IP, cela inclut, par exemple, la géolocalisation.
La chronologie contient une liste des alertes, des signets et des anomalies qui présentent cette entité, ainsi que les activités que l’entité a effectuées, telles que collectées à partir des journaux dans lesquels l’entité apparaît. Toutes les alertes contenant cette entité figureront dans cette liste, que les alertes appartiennent ou non à cet incident.
Les alertes qui ne font pas partie de l’incident s’affichent différemment : l’icône du bouclier sera grisée, la bande de couleurs de gravité sera une ligne en pointillés au lieu d’une ligne unie, et un bouton avec un signe plus se trouve sur le côté droit de la ligne de l’alerte.
Sélectionnez le signe plus pour ajouter l’alerte à cet incident. Lorsque l’alerte est ajoutée à l’incident, toutes les autres entités de l’alerte (qui ne faisaient pas déjà partie de l’incident) y sont également ajoutées. Vous pouvez maintenant étendre davantage votre enquête en examinant les chronologies de ces entités pour les alertes associées.
Cette chronologie est limitée aux alertes et activités au cours des sept jours précédents. Pour revenir plus loin, effectuez un pivot vers la chronologie de la page d’entité complète, dont l’intervalle de temps est personnalisable.
Insights contient les résultats des requêtes définies par les chercheurs en sécurité Microsoft qui fournissent des informations de sécurité contextuelles précieuses sur les entités, basées sur les données d’une collection de sources. Ces insights incluent ceux du widget Top Insights et bien d’autres ; ce sont les mêmes qui apparaissent sur la page complète de l’entité, mais sur une période limitée : à partir de 24 heures avant la première alerte de l’incident et se terminant par l’heure de la dernière alerte.
La plupart des insights contiennent des liens qui, une fois sélectionnés, ouvrent le panneau Journaux affichant la requête qui a généré les insights ainsi que leurs résultats.
Cibler votre investigation
Découvrez comment élargir ou restreindre l’étendue de votre investigation en ajoutant des alertes à vos incidents ou en supprimant des alertes des incidents.
Explorez plus en détail vos données dans les journaux
À peu près n’importe où dans l’expérience d’investigation, vous pouvez sélectionner un lien qui ouvrira une requête sous-jacente dans le panneau Journaux, dans le contexte de l’investigation. Si vous accédez au panneau Journaux à partir de l’un de ces liens, la requête correspondante s’affiche dans la fenêtre de requête, et la requête s’exécute automatiquement et génère les résultats appropriés à explorer.
Vous pouvez également appeler un panneau Journaux vide à l’intérieur de la page des détails de l’incident à tout moment, si vous pensez à une requête que vous souhaitez essayer lors de l’examen, tout en restant dans le contexte. Pour cela, sélectionnez Journaux en haut de la page.
Toutefois, vous vous retrouvez dans le panneau Journaux, si vous avez exécuté une requête dont vous souhaitez enregistrer les résultats :
Cochez la case en regard de la ligne à partir de laquelle vous souhaitez enregistrer parmi les résultats. Pour enregistrer tous les résultats, cochez la case en haut de la colonne.
Enregistrez les résultats marqués sous forme de signet. Pour ce faire, vous avez deux options :
Sélectionnez Ajouter un signet à l’incident actuel pour créer un signet et l’ajouter à l’incident ouvert. Suivez les instructions de signet pour achever le processus. Une fois terminé, le signet s’affiche dans la chronologie des incidents.
Sélectionnez Ajouter un signet pour créer un signet sans l’ajouter à un incident. Suivez les instructions de signet pour achever le processus. Vous pourrez trouver ce signet avec tous les autres que vous avez créés sur la page Chasse, sous l’onglet Signets. À partir de là, vous pouvez l’ajouter à cet incident ou à tout autre incident.
Après avoir créé le signet (ou si vous choisissez de ne pas le faire), sélectionnez Terminé pour fermer le panneau Journaux .
Auditer et commenter les incidents
Lors de l’examen d’un incident, vous souhaiterez documenter minutieusement les étapes que vous suivez, à la fois pour garantir la précision des rapports destinés à la direction et pour permettre une collaboration et une collaboration homogènes entre collègues. Vous voudrez également voir clairement les enregistrements de toutes les actions effectuées sur l’incident par d’autres personnes, y compris par des processus automatisés. Microsoft Sentinel vous donne le journal d'activité, un environnement d'audit et de commentaire riche, pour vous aider à accomplir cette tâche.
Vous pouvez également enrichir automatiquement vos incidents avec des commentaires. Par exemple, quand vous exécutez un playbook sur un incident qui extrait des informations pertinentes de sources externes (par exemple, la vérification de la présence d’un programme malveillant dans un fichier sur VirusTotal), vous pouvez faire en sorte que le playbook place la réponse de la source externe, ainsi que toute autre information que vous définissez, dans les commentaires de l’incident.
Le journal d’activité s’actualise automatiquement, même lorsqu’il est ouvert, afin que vous puissiez toujours voir les modifications en temps réel. Vous serez également informé de toute modification apportée au journal d’activité lorsque vous l’avez ouvert.
Pour afficher le journal des activités et des commentaires, ou pour ajouter vos propres commentaires :
- Sélectionnez Journal d’activité en haut de la page des détails de l’incident.
- Pour filtrer le journal afin d’afficher uniquement les activités ou uniquement les commentaires, sélectionnez le contrôle de filtre en haut du journal.
- Si vous souhaitez ajouter un commentaire, entrez-le dans l’éditeur de texte enrichi en bas du panneau journal d’activité des incidents .
- Sélectionnez Commentaire pour envoyer le commentaire. Vous voyez maintenant votre commentaire en haut du journal.
Considérations relatives aux commentaires
Les éléments suivants sont plusieurs considérations à prendre en compte lors de l’utilisation de commentaires d’incident.
Entrée prise en charge :
Texte : les commentaires dans Microsoft Sentinel prennent en charge les entrées de texte en texte brut, HTML de base et Markdown. Vous pouvez également coller des données texte, HTML et Markdown copiées dans la fenêtre de commentaire.
Liens: Les liens doivent être sous la forme de balises d’ancre HTML, et ils doivent avoir le paramètre
target="_blank"
. Exemple :<a href="https://www.url.com" target="_blank">link text</a>
Remarque
Si vous avez des playbooks qui créent des commentaires dans les incidents, les liens dans ces commentaires doivent maintenant également être conformes à ce modèle, en raison d’une modification du format des commentaires.
Images : vous pouvez insérer des liens vers des images dans des commentaires et les images s’afficheront inline, mais elles doivent déjà être hébergées dans un emplacement accessible publiquement, tel que Dropbox, OneDrive, Google Drive etc. Les images ne peuvent pas être chargées directement sur les commentaires.
Limite de taille :
Par commentaire : un seul commentaire peut contenir jusqu’à 30 000 caractères.
Par incident : un seul incident peut contenir jusqu’à 100 commentaires.
Notes
La taille limite d’un enregistrement d’incident unique dans la table SecurityIncident de Log Analytics est de 64 Ko. Si cette limite est dépassée, les commentaires (à partir du plus ancien) sont tronqués, ce qui peut affecter les commentaires qui s’affichent dans les résultats de la recherche avancée.
Les enregistrements d’incidents réels dans la base de données des incidents ne sont pas affectés.
Qui peut modifier ou supprimer :
Modification : seul l’auteur d’un commentaire a l’autorisation de le modifier.
Suppression : seuls les utilisateurs ayant le rôle Collaborateur Microsoft Sentinel ont l’autorisation de supprimer des commentaires. Même l’auteur du commentaire doit avoir ce rôle pour pouvoir le supprimer.
Examiner visuellement les incidents à l’aide du graphique d’investigation
Si vous préférez une représentation visuelle et graphique des alertes, des entités et des connexions entre elles dans votre investigation, vous pouvez également accomplir bon nombre des choses décrites ci-dessus avec le graphique d’investigation classique. L’inconvénient du graphique est que vous allez devoir changer de contexte beaucoup plus.
Le graphique d’examen vous fournit les éléments suivants :
Contexte visuel des données brutes : Le graphique visuel en direct affiche les relations entre les entités extraites automatiquement des données brutes. Cela vous permet de visualiser aisément les connexions entre les différentes sources de données.
Découverte de l’étendue d’examen complète : Étendez la portée de votre examen à l’aide de requêtes d’exploration intégrées pour découvrir toute la portée d’une violation de la sécurité.
Étapes d’examen intégrées : Utilisez les options d’exploration prédéfinies pour vous assurer que vous posez les bonnes questions en face à une menace.
Pour utiliser le graphique d’examen :
Sélectionnez un incident, puis Examiner. Vous accédez au graphique d’examen. Le graphique fournit une carte illustrant les entités directement connectées à l’alerte et à chaque ressource connectée.
Important
Vous ne pourrez examiner l’incident que si la règle d’analyse ou le signet qui l’a généré contient des mappages d’entités. Le graphique d’examen requiert que votre incident d’origine comprenne des entités.
Le graphique d’investigation prend actuellement en charge l’examen des incidents survenus au cours des 30 derniers jours.
Sélectionnez une entité pour ouvrir le volet Entités et consulter les informations y afférentes.
Élargissez votre examen en survolant chaque entité pour afficher une liste de questions conçues par nos experts et analystes en sécurité par type d’entité afin d’approfondir votre examen. Nous appelons ces options des requêtes d’exploration.
Par exemple, vous pouvez demander les alertes associées. Si vous sélectionnez une requête d’exploration, les droits résultants sont rajoutés au graphique. Dans cet exemple, la sélection d’Alertes associées a renvoyé les alertes suivantes dans le graphique :
Vous voyez que les alertes associées apparaissent connectées à l’entité par des lignes en pointillés.
Pour chaque requête d’exploration, vous pouvez sélectionner l’option permettant d’ouvrir les résultats bruts de l’événement et la requête utilisée dans Log Analytics, en sélectionnant Événements> .
Pour comprendre l’incident, le graphique vous donne une chronologie parallèle.
Pointez sur la chronologie pour voir quels éléments du graphique se sont produits à un moment donné.
Clôture d’un incident
Une fois que vous avez résolu un incident particulier (par exemple, lorsque votre investigation a atteint sa conclusion), vous devez définir son état sur Clôturé. Dans ce cas, vous êtes invité à classer l’incident en spécifiant la raison pour laquelle vous le clôturez. Cette étape est obligatoire. Cliquez sur Sélectionner la classification, puis choisissez l’une des options suivantes dans la liste déroulante :
- Vrai positif – activité suspecte
- Positif bénin – suspect, mais attendu
- Faux positif – logique d’alerte incorrecte
- Faux positif – données incorrectes
- Indéterminé
Pour plus d’informations sur les faux positifs et les positifs bénins, consultez Gérer les faux positifs dans Microsoft Sentinel.
Après avoir choisi la classification appropriée, ajoutez un texte descriptif dans le champ Commentaire. Cela vous sera utile dans l’éventualité où vous devriez revenir à cet incident. Lorsque vous avez terminé, cliquez sur Appliquer pour clôturer l’incident.
Rechercher des incidents
Pour trouver rapidement un incident spécifique, entrez une chaîne de recherche dans la zone de recherche au-dessus de la grille des incidents et appuyez sur Entrée pour modifier la liste des incidents affichée en conséquence. Si votre incident n’est pas dans les résultats, affinez votre recherche avec les options de recherche avancée.
Pour modifier les paramètres de recherche, sélectionnez le bouton Rechercher, puis sélectionnez les paramètres où vous souhaitez exécuter votre recherche.
Par exemple :
Par défaut, les recherches d’incidents se font uniquement avec les valeurs ID d’incident, Titre, Étiquettes, Propriétaires et Nom du produit. Dans le volet de recherche, faites défiler la liste pour sélectionner un ou plusieurs autres paramètres à rechercher, puis sélectionnez Appliquer pour mettre à jour les paramètres de recherche. Sélectionner Revenir au paramètre par défaut réinitialise les paramètres sélectionnés vers l’option par défaut.
Notes
Les recherches dans le champ Propriétaire prennent en charge les noms et les adresses e-mail.
L’utilisation des options de recherche avancées modifie le comportement de recherche comme suit :
Comportement de la recherche | Description |
---|---|
Couleur du bouton de recherche | La couleur du bouton de recherche change en fonction des types de paramètres utilisés dans la recherche.
|
Actualisation automatique | L’utilisation de paramètres de recherche avancée vous empêche de sélectionner l’actualisation automatique de vos résultats. |
Paramètres d’entité | Tous les paramètres d’entité sont pris en charge pour les recherches avancées. Lors de la recherche dans n’importe quel paramètre d’entité, la recherche s’exécute dans tous les paramètres d’entité. |
Rechercher des chaînes | La recherche d’une chaîne de mots comprend tous les mots de la requête de recherche. Les chaînes de recherche respectent la casse. |
Prise en charge de l’espace de travail croisé | Les recherches avancées ne sont pas prises en charge pour les vues entre espaces de travail. |
Nombre de résultats de recherche affichés | Lorsque vous utilisez des paramètres de recherche avancée, seuls 50 résultats sont affichés à la fois. |
Conseil
Si vous ne parvenez pas à trouver l’incident que vous recherchez, supprimez les paramètres de recherche pour étendre votre recherche. Si votre recherche aboutit à un trop grand nombre d’éléments, ajoutez des filtres pour affiner vos résultats.
Étapes suivantes
Dans cet article, vous avez appris à commencer à examiner les incidents à l’aide de Microsoft Sentinel. Pour plus d'informations, consultez les pages suivantes :