Mapper des champs de données à des entités dans Microsoft Sentinel
Le mappage d’entités fait partie intégrante de la configuration des règles analytiques planifiées. Il enrichit la sortie des règles (alertes et incidents) avec des informations essentielles qui constituent la base de tout processus d’investigation et actions correctives ultérieures.
La procédure détaillée ci-dessous fait partie de l’Assistant Création de règles analytiques. Elle est traitée ici indépendamment afin de prendre en charge le scénario d’ajout ou de modification de mappages d’entités dans une règle analytique existante.
Important
- Pour obtenir des informations importantes sur la compatibilité descendante et sur les différences entre les versions nouvelles et anciennes du mappage d’entités, consultez les Remarques sur la nouvelle version à la fin de ce document.
- Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Comment mapper des entités ?
Rendez-vous sur la page Analytics depuis le portail par lequel vous accédez à Microsoft Sentinel :
Dans la section Configuration du menu de navigation de Microsoft Sentinel, sélectionnez Analytics.
Sélectionnez une règle de requête planifiée et sélectionnez Modifier dans le volet d’informations. Ou créez une règle en cliquant sur Créer > Règle de requête planifiée en haut de l’écran.
Sélectionnez l’onglet Définir la logique de la règle. S’il s’agit d’une nouvelle règle, tapez une requête dans la fenêtre Requête de règle.
Dans la section Amélioration des alertes, développez Mappage d’entités.
Dans la section Mappage d’entités développée, sélectionnez Ajouter une nouvelle entité.
Sélectionnez un type d’entité dans la liste déroulante Entité.
Sélectionnez un identificateur pour l’entité. Les identificateurs sont des attributs d’une entité qui peuvent l’identifier suffisamment. Choisissez-en un dans la liste déroulante Identificateur, puis choisissez un champ de données dans la liste déroulante Valeur qui correspondra à l’identificateur. À quelques exceptions près, la liste Valeur est renseignée avec les champs de données de la table définie comme objet de la requête de règle.
Vous pouvez définir jusqu’à trois identificateurs pour le mappage d’une entité donnée. Certains identificateurs sont obligatoires, d’autres facultatifs. Vous devez choisir au moins un identificateur obligatoire, sinon un message d’avertissement vous signale quels identificateurs sont obligatoires. Pour de meilleurs résultats (pour une identification unique maximale), vous devez utiliser des identificateurs forts dans la mesure du possible. Par ailleurs, l’utilisation de plusieurs identificateurs forts autorisera une plus grande corrélation entre les sources de données. Consultez la liste complète des entités et identificateurs disponibles.
Sélectionnez Ajouter une nouvelle entité pour mapper plus d’entités. Vous pouvez définir jusqu'à dix mappages d’entités au sein d'une même règle analytique. Vous pouvez également mapper plusieurs entités du même type. Par exemple, vous pouvez mapper deux entités IP ; une à partir d’un champ d’adresse IP source et une autre à partir d’un champ d’adresse IP de destination. De cette façon, vous pouvez les suivre toutes les deux.
Si vous changez d’avis ou si vous avez commis une erreur, vous pouvez supprimer un mappage d’entités en cliquant sur l’icône Corbeille en regard de la liste déroulante d’entités.
Lorsque vous avez terminé de spécifier les paramètres, cliquez sur Vérifier + créer. Une fois la validation de la règle réussie, cliquez sur Enregistrer.
Notes
Jusqu’à 500 entités peuvent être identifiées collectivement dans une seule alerte, réparties de manière égale entre tous les mappages d’entités définis dans la règle.
- Par exemple, si deux mappages d’entités sont définis dans la règle, chaque mappage peut identifier jusqu’à 250 entités ; si cinq mappages sont définis, chacun peut identifier jusqu’à 100 entités, et ainsi de suite.
- Plusieurs mappages d’un type d’entité unique (par exemple, l’adresse IP source et l’adresse IP de destination) sont comptabilisés séparément.
- Si une alerte contient des éléments dépassant cette limite, ces éléments excédentaires ne sont pas reconnus et extraits en tant qu’entités.
La limite de taille de la zone d’entités entière d’une alerte (le champ Entités) est de 64 Ko.
- Les champs Entités dont la taille est supérieure à 64 Ko seront tronqués. Au fur et à mesure que les entités sont identifiées, elles sont ajoutées à l’alerte une par une jusqu’à ce que la taille du champs atteigne 64 Ko, et toutes les entités qui ne sont pas encore identifiées sont supprimées de l’alerte.
Remarques sur la nouvelle version
Étant donné que la nouvelle version est désormais en disponibilité générale, la solution de contournement de l’indicateur de fonctionnalité permettant d’utiliser l’ancienne version n’est plus disponible.
Si vous avez déjà défini des mappages d’entités pour cette règle d’analyse à l’aide de l’ancienne version, ils seront automatiquement convertis vers la nouvelle version.
Étapes suivantes
Dans ce document, vous avez découvert comment mapper des champs de données à des entités dans des règles d’analyse de Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Explorez les autres façons d’enrichir vos alertes :
- Obtenez une vue d’ensemble complète des règles analytiques de requête planifiée.
- Apprenez-en davantage sur les entités de Microsoft Sentinel.