Gérer des versions de modèles pour vos règles d’analyse planifiée dans Microsoft Sentinel

Important

Cette fonctionnalité est en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Introduction

Microsoft Sentinel est fourni avec des modèles de règle d’analyse qui deviennent des règles actives lorsque vous en créez une copie, ce qui se produit lorsque vous créez une règle à partir d’un modèle. Toutefois, à ce stade, la règle active n’est plus connectée au modèle. Si des modifications sont apportées à un modèle de règle par des ingénieurs Microsoft ou toute autre personne, les règles créées à partir de ce modèle ne sont pas mises à jour de manière dynamique pour correspondre au nouveau modèle.

Toutefois, les règles créées à partir de modèles se souviennent des modèles dont elles sont issues, ce qui présente deux avantages :

• Si vous avez modifié une règle lors de sa création à partir d’un modèle, ou à tout autre moment par la suite, vous pouvez toujours rétablir la version originale de la règle.

• Vous recevez une notification lorsqu’un modèle est mis à jour. Vous pouvez mettre à jour vos règles vers la nouvelle version de leurs modèles ou les laisser telles qu’elles sont.

Cet article explique comment gérer ces tâches et ce qu’il faut garder à l’esprit. Les procédures décrites dans cet article s’appliquent à toutes les règles d’analyse planifiées créées à partir de modèles.

Découvrir le numéro de version du modèle de votre règle

Avec l’implémentation de la gestion de version de modèle, vous pouvez afficher et suivre les versions de vos modèles de règle et les règles créées à partir de celles-ci. Les règles avec des modèles mis à jour affichent un badge « Mise à jour » à côté du nom de la règle.

1. Dans la page Analyse, sélectionnez l’onglet Règles actives.

2. Sélectionnez une règle de type Planifiée.

   • Si la règle affiche le badge « Mise à jour », son volet d'informations contient un bouton Vérifier et mettre à jour à côté du bouton Modifier (voir l’image 1 à l’étape suivante).

   • Si la règle a été créée à partir d’un modèle, mais ne dispose pas du badge « Mise à jour », le volet d'informations contient un bouton Comparer au modèle à côté du bouton Modifier (voir les images 2 et 3 à l’étape suivante).

   • S’il n’existe qu’un seul bouton Modifier, la règle a été créée à partir de zéro, et non à partir d’un modèle.

     

3. Faites défiler la page jusqu’en bas du volet d'informations pour voir les deux numéros de version : la version du modèle à partir duquel la règle a été créée, et la dernière version disponible du modèle.

   

   Le nombre est au format « 1.0.0 », version principale, version mineure et build.

   • Une différence dans le numéro de version principale indique qu’un élément essentiel du modèle a été modifié, ce qui peut affecter la façon dont la règle détecte des menaces ou même sa capacité à fonctionner en fin de compte. Vous souhaitez inclure cette modification dans vos règles.

   • Une différence dans le numéro de version mineure indique une amélioration mineure du modèle, c’est-à-dire une modification esthétique ou une opération similaire, qui serait « agréable à avoir », mais qui n’est pas essentielle pour maintenir les fonctionnalités, l’efficacité ou les performances de la règle. Vous pourriez aussi bien prendre ou laisser ce changement.

   Remarque

   Les images 2 et 3 montrent deux exemples de règles créées à partir de modèles, et où le modèle n’a pas été mis à jour.

   • L’image 2 affiche une règle qui a un numéro de version pour son modèle actuel. Cela indique que la règle a été créée après l’implémentation initiale de la gestion de version des modèles par Microsoft Sentinel en octobre 2021.
   • L’image 3 affiche une règle qui n’a pas de version de modèle actuelle. Cela indique que la règle a été créée avant octobre 2021. Si la version de modèle la plus récente est disponible, il s’agit probablement d’une version plus récente du modèle que celle utilisée pour créer la règle.

Comparer votre règle active à son modèle

Choisissez l’un des onglets suivants en fonction de l’action que vous souhaitez effectuer, pour consulter les instructions relatives à cette action :

Mettre à jour le modèle

Après avoir sélectionné une règle et décidé que vous souhaitez la mettre à jour, sélectionnez Vérifier et mettre à jour dans le volet des informations (voir étapes précédentes). Vous verrez que l'Assistant Règle d’analyse comporte désormais un onglet Comparer à la dernière version.

Dans cet onglet, vous verrez une comparaison côte à côte entre les représentations YAML de la règle existante et la dernière version du modèle.

Notes

La mise à jour de cette règle remplace votre règle existante par la version la plus récente du modèle.

Toute étape ou logique d’automatisation qui fait référence à la règle existante doit être vérifiée, au cas où les noms référencés auraient changé. En outre, toutes les personnalisations effectuées lors de la création de la règle d’origine (modifications apportées à la requête, à la planification, au regroupement ou à d’autres paramètres) risquent d’être remplacées.

Mettre votre règle à jour avec la nouvelle version du modèle

• Si les modifications apportées à la nouvelle version du modèle sont acceptables pour vous et que rien d’autre dans votre règle d’origine n’a été affecté, sélectionnez Vérifier et mettre à jour pour valider et appliquer les modifications.

• Si vous souhaitez personnaliser davantage la règle ou réappliquer des modifications susceptibles d’être remplacées, sélectionnez Suivant : modifications personnalisées. Parcourez les onglets restants de l’Assistant Règle d’analyse pour faire ces modifications, puis validez et appliquez les modifications dans l’onglet Vérifier et mettre à jour.

• Si vous ne souhaitez pas apporter de modifications à votre règle existante, mais que vous souhaitez conserver la version existante du modèle, quittez simplement l’Assistant en sélectionnant le X dans le coin supérieur droit.

Rétablir un modèle

Après avoir sélectionné une règle et décidé que vous souhaitez rétablir sa version d’origine, sélectionnez Comparer au modèle dans le volet des informations (voir étapes précédentes). Vous verrez que l'Assistant Règle d’analyse comporte désormais un onglet Comparer à la dernière version.

Dans cet onglet, vous verrez une comparaison côte à côte entre les représentations YAML de la règle existante et la dernière version du modèle. Les deux numéros de version peuvent être identiques, mais le côté droit affiche le modèle d’origine, inchangé, et le côté gauche affiche la règle active, y compris les modifications apportées au modèle d’origine.

Notes

La mise à jour de cette règle remplace votre règle existante par la version la plus récente du modèle.

Toute étape ou logique d’automatisation qui fait référence à la règle existante doit être vérifiée, au cas où les noms référencés auraient changé. En outre, toutes les personnalisations effectuées lors de la création de la règle d’origine (modifications apportées à la requête, à la planification, au regroupement ou à d’autres paramètres) risquent d’être remplacées.

Rétablir la version de modèle d’origine de votre règle

• Si vous souhaitez rétablir complètement la version d’origine de cette règle (une copie propre du modèle), sélectionnez Vérifier et mettre à jour pour valider et appliquer les modifications.

• Si vous souhaitez personnaliser la règle différemment ou réappliquer les modifications susceptibles d’être remplacées, sélectionnez Suivant : modifications personnalisées. Parcourez les onglets restants de l’Assistant Règle d’analyse pour faire ces modifications, puis validez et appliquez les modifications dans l’onglet Vérifier et mettre à jour.

• Si vous ne souhaitez pas modifier votre règle existante, quittez simplement l’Assistant en sélectionnant le X dans le coin supérieur droit.

Étapes suivantes

Dans ce document, vous avez appris à assurer le suivi des versions de vos modèles de règle d’analyse Microsoft Sentinel et à rétablir les versions de modèle existantes des règles actives ou à les mettre à jour. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• En savoir plus sur les règles d’analyse.
• Détails supplémentaires sur l'Assistant Règle d’analyse.