Mapper des champs de données à des entités dans Microsoft Sentinel

Le mappage d’entités fait partie intégrante de la configuration des règles d’analyse planifiées. Il enrichit la sortie des règles (alertes et incidents) avec des informations essentielles qui servent de blocs de construction de tout processus d’enquête et des actions correctives qui suivent.

La procédure détaillée ci-dessous fait partie de l’Assistant Création de règles d’analyse. Il est traité ici indépendamment pour traiter le scénario d’ajout ou de modification de mappages d’entités dans une règle d’analyse existante.

Importante

• Consultez « Notes sur la nouvelle version » à la fin de ce document pour obtenir des informations importantes sur la compatibilité descendante et les différences entre les nouvelles et les anciennes versions du mappage d’entités.
• Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Comment mapper des entités

1. Entrez la page Analytics dans le portail par le biais de laquelle vous accédez à Microsoft Sentinel :

   Portail Azure

   Dans la section Configuration du menu de navigation Microsoft Sentinel, sélectionnez Analytique.

   Portail Defender

   Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analytique.

2. Sélectionnez une règle de requête planifiée, puis Modifier dans le volet d’informations. Vous pouvez également créer une règle en cliquant sur Créer une > règle de requête planifiée en haut de l’écran.

3. Sélectionnez l’onglet Définir la logique de règle . S’il s’agit d’une nouvelle règle, tapez une requête dans la fenêtre Requête de règle .

4. Dans la section Amélioration de l’alerte , développez Mappage d’entités.

   

5. Dans la section Mappage d’entités maintenant développée, sélectionnez Ajouter une nouvelle entité.

   

6. Sélectionnez un type d’entité dans la liste déroulante Entité .

   

7. Sélectionnez un identificateur pour l’entité. Les identificateurs sont des attributs d’une entité qui peuvent l’identifier suffisamment. Choisissez-en un dans la liste déroulante Identificateur , puis choisissez un champ de données dans la liste déroulante Valeur qui correspondra à l’identificateur. À quelques exceptions près, la liste Valeur est remplie par les champs de données dans la table définie comme l’objet de la requête de règle.

   Vous pouvez définir jusqu’à trois identificateurs pour un mappage d’entité donné. Certains identificateurs sont obligatoires, d’autres sont facultatifs. Vous devez choisir au moins un identificateur requis. Si ce n’est pas le cas, un message d’avertissement vous indiquera les identificateurs requis. Pour obtenir de meilleurs résultats (pour une identification unique maximale), vous devez utiliser des identificateurs forts dans la mesure du possible, et l’utilisation de plusieurs identificateurs forts permet une meilleure corrélation entre les sources de données. Consultez la liste complète des entités et identificateurs disponibles.

   

8. Sélectionnez Ajouter une nouvelle entité pour mapper d’autres entités. Vous pouvez définir jusqu’à dix mappages d’entités dans une seule règle d’analyse. Vous pouvez également mapper plusieurs d’entre eux du même type. Par exemple, vous pouvez mapper deux entités IP , l’une à partir d’un champ d’adresse IP source et l’autre à partir d’un champ d’adresse IP de destination . De cette façon, vous pouvez les suivre tous les deux.

   Si vous changez d’avis ou si vous avez fait une erreur, vous pouvez supprimer un mappage d’entité en cliquant sur l’icône de corbeille en regard de la liste déroulante des entités.

9. Une fois que vous avez terminé le mappage des entités, cliquez sur l’onglet Vérifier et créer . Une fois la validation de la règle réussie, cliquez sur Enregistrer.

Remarque

• Jusqu’à 500 entités peuvent être identifiées collectivement dans une seule alerte, réparties de manière égale entre tous les mappages d’entités définis dans la règle.

  • Par exemple, si deux mappages d’entités sont définis dans la règle, chaque mappage peut identifier jusqu’à 250 entités ; si cinq mappages sont définis, chacun peut identifier jusqu’à 100 entités, etc.
  • Plusieurs mappages d’un type d’entité unique (par exemple, l’adresse IP source et l’adresse IP de destination) comptent chacun séparément.
  • Si une alerte contient des éléments dépassant cette limite, ces éléments en excès ne sont pas reconnus et extraits en tant qu’entités.

• La limite de taille pour la zone d’entités entière d’une alerte (champ Entités ) est de 64 Ko.

  • Les champs d’entités dont la taille dépasse 64 Ko sont tronqués. À mesure que les entités sont identifiées, elles sont ajoutées à l’alerte une par une jusqu’à ce que la taille du champ atteigne 64 Ko et que toutes les entités non identifiées soient supprimées de l’alerte.

Remarques sur la nouvelle version

• Étant donné que la nouvelle version est désormais en disponibilité générale, la solution de contournement avec indicateur de fonctionnalité pour utiliser l’ancienne version n’est plus disponible.

• Si vous avez précédemment défini des mappages d’entités pour cette règle d’analyse à l’aide de l’ancienne version, ils sont automatiquement convertis en nouvelle version.

Étapes suivantes

Dans ce document, vous avez appris à mapper des champs de données à des entités dans Microsoft Sentinel règles d’analyse. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

• Explorez les autres façons d’enrichir vos alertes :
  • Détails de l’événement personnalisé Surface dans les alertes dans Microsoft Sentinel
  • Personnaliser les détails de l’alerte dans Microsoft Sentinel
• Obtenez l’image complète des règles d’analyse des requêtes planifiées.
• En savoir plus sur les entités dans Microsoft Sentinel.