Utiliser le flux temps réel de chasse dans Microsoft Sentinel pour détecter les menaces

  • Article

Utilisez le livestream de chasse pour créer des sessions interactives dans lesquelles vous pouvez tester les nouvelles requêtes créées à mesure que des événements se produisent, recevoir les notifications des sessions quand une correspondance est trouvée et lancer des investigations si nécessaire. Vous pouvez créer rapidement une session de livestream à l’aide d’une requête Log Analytics.

  • Tester les nouvelles requêtes créées à mesure que des événements se produisent

    Vous pouvez tester et modifier des requêtes sans que cela provoque des conflits avec des règles actuelles qui sont activement appliquées aux événements. Une fois que vous avez vérifié que ces nouvelles requêtes fonctionnent comme prévu, vous pouvez facilement les promouvoir en règles d’alerte personnalisées, simplement en sélectionnant une option qui élève la session au niveau d’alerte.

  • Recevoir une notification en présence de menaces

    Vous pouvez comparer les flux de données de menace aux données de journal agrégées et être averti quand une correspondance est établie. Les flux de données de menace sont des flux continus de données qui ont trait à des menaces potentielles ou actuelles. La notification peut donc indiquer une menace potentielle pour votre organisation. Créez une session de livestream à la place d’une règle d’alerte personnalisée si vous souhaitez être averti d’un problème potentiel sans pour autant consacrer du temps à la gestion d’une règle d’alerte personnalisée.

  • Lancer des investigations

    Si une investigation active existe déjà pour une ressource telle qu’un hôte ou un utilisateur, vous pouvez examiner une activité spécifique (ou toutes les activités) dans les données de journal à mesure que l’activité est effectuée sur cette ressource. Vous pouvez recevoir une notification quand cette activité se produit.

Créer une session de livestream

Vous pouvez créer une session de livestream à partir d’une requête de chasse existante ou en créer une intégralement.

  1. Dans le portail Azure, accédez à Sentinel>Gestion des menaces>Repérage.

  2. Pour créer une session de livestream à partir d’une requête de chasse :

    1. Sous l’onglet Requêtes, recherchez la requête de chasse à utiliser.
    2. Cliquez avec le bouton droit sur la requête et sélectionnez Ajouter à livestream. Par exemple :

    créer une session livestream à partir d’une requête de repérage Microsoft Sentinel

  3. Pour créer une session de livestream depuis le début :

    1. Sélectionnez l’onglet Flux temps réel.
    2. Cliquez sur + Nouveau livestream.

  4. Dans le volet Flux temps réel :

    • Si vous avez démarré une session de livestream à partir d’une requête existante, examinez la requête et apportez-y les éventuelles modifications souhaitées.
    • Si vous avez créé une session de livestream depuis le début, créez votre requête.

    Notes

    Livestream prend en charge les requêtes inter-ressources des données dans Azure Data Explorer. En savoir plus sur les requêtes inter-ressources.

  5. Dans la barre de commandes, sélectionnez Lecture.

    La barre d’état, sous la barre de commandes, indique si votre session de livestream est active ou suspendue. Dans l’exemple suivant, la session est active :

    créer une session livestream à partir d’un repérage Microsoft Sentinel

  6. Dans la barre de commandes, sélectionnez Enregistrer.

    Sauf si vous sélectionnez Suspendre, la session reste active jusqu’à ce que vous vous déconnectiez du portail Azure.

Afficher vos sessions de livestream

  1. Dans le portail Azure, accédez à l’onglet Sentinel>Gestion des menaces>Chasse>Flux temps réel.

  2. Sélectionnez la session de livestream que vous souhaitez voir ou modifier. Par exemple :

    créer une session livestream à partir d’une requête de repérage Microsoft Sentinel

    La session de livestream sélectionnée s’ouvre. Vous pouvez ensuite la lire, la mettre en pause, la modifier, etc.

Recevoir des notifications quand de nouveaux événements se produisent

Étant donné que les notifications de livestream pour les nouveaux événements utilisent les notifications du portail Azure, vous voyez toujours ces notifications dans le portail Azure. Par exemple :

Notification du portail Azure concernant le livestream

Sélectionnez la notification pour ouvrir le volet Flux temps réel.

Élever une session de livestream au niveau d’alerte

Vous pouvez promouvoir une session de livestream en une nouvelle alerte en sélectionnant Élever au niveau d’alerte dans la barre de commandes de la session de livestream correspondante :

Élever une session livestream au niveau d’alerte

Cette action ouvre l’Assistant Création de règle, qui est prérempli avec la requête associée à la session de livestream.

Étapes suivantes

Dans cet article, vous avez appris à utiliser le livestream de chasse dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :