Surveiller et optimiser l’exécution de vos règles d’analyse planifiées

Pour vous assurer que la détection des menaces de Microsoft Sentinel offre une couverture complète dans votre environnement, tirez parti de ses outils de gestion de l’exécution. Ces outils se composent d’informations sur l’exécution de vos règles d’analyse planifiées, basées sur les données d’intégrité et d’audit de Microsoft Sentinel, et d’une fonctionnalité permettant de réexécuter manuellement les exécutions précédentes de règles sur des fenêtres de temps spécifiques, à des fins de test et/ou de résolution des problèmes.

Importante

Les informations sur les règles d’analyse de Microsoft Sentinel et la réexécution manuelle sont actuellement en PRÉVERSION. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.

Résumé

Il existe deux outils de gestion d’exécution pour les règles d’analytique planifiée : les insights de règles planifiées intégrés et la possibilité de réexécuter des règles planifiées à la demande.

Dans la page Analytics , le panneau Insights s’affiche sous la forme d’un autre onglet dans le volet d’informations, à côté de l’onglet Informations . Le panneau Insights fournit des informations sur l’activité et les résultats d’une règle. Par exemple : échecs d’exécution, problèmes d’intégrité principaux, nombre d’alertes au fil du temps et classifications fermante des incidents créés par la règle. Ces insights aident vos analystes de sécurité à identifier les problèmes potentiels ou les erreurs de configuration avec les règles d’analyse, et leur permettent de découvrir et de corriger les échecs de règle et d’optimiser les configurations de règles pour améliorer les performances et la précision.

Dans la page Analytics , vous avez également la possibilité de réexécuter des règles d’analyse à la demande. Cette fonctionnalité offre flexibilité et contrôle la validation de l’efficacité des règles. Il peut être utile dans des scénarios tels que l’affinement des règles, les tests, la validation, etc. Avoir la flexibilité nécessaire pour lancer des réexécutions manuelles peut prendre en charge des opérations de sécurité efficaces, permettre une réponse efficace aux incidents et améliorer les fonctionnalités globales de détection et de réponse du système.

Cas d’usage et avantages de la réexécution de règle

Voici quelques scénarios qui peuvent tirer parti de la relecture d’exécutions spécifiques de règles d’analyse :

Affinement et réglage des règles : Les règles d’analyse peuvent nécessiter des ajustements périodiques et un réglage précis en fonction de l’évolution du paysage des menaces et de l’évolution des besoins de l’organisation. En réexécutant manuellement des règles, vos analystes peuvent évaluer l’impact des modifications de règle et valider leur efficacité avant de les déployer dans un environnement de production.

Test et validation : Lorsque vous introduisez de nouvelles règles d’analyse, apportez des modifications significatives à des règles existantes ou développez de nouveaux playbooks sur les incidents, il est essentiel de tester minutieusement leurs performances et leur précision. Le réexécution manuelle vous permet de simuler différents scénarios, y compris le flux d’incident automatisé de bout en bout, et de valider les règles par rapport à un ensemble cohérent d’entrées de données. Ce processus garantit que les règles génèrent les alertes attendues sans produire de faux positifs excessifs.

Enquête sur les incidents : En cas d’incident de sécurité ou d’activité suspecte, vos analystes peuvent souhaiter exposer des détails supplémentaires dans les alertes déjà générées. Pour ce faire, ils peuvent mettre à jour la règle et la réexécuter à des intervalles d’exécution spécifiques (jusqu’à sept jours) pour collecter des informations supplémentaires et identifier les événements associés. Le réexécution manuelle permet à vos analystes d’effectuer des investigations approfondies et de garantir une couverture complète.

Conformité et audit : Certaines exigences réglementaires ou stratégies internes peuvent nécessiter la réexécution de règles d’analyse périodiquement ou à la demande pour démontrer une surveillance et une conformité continues. Le réexécution manuelle permet de respecter ces obligations en veillant à ce que les règles soient appliquées de manière cohérente et génèrent des alertes appropriées.

Configuration requise

Pour utiliser les outils de gestion d’exécution, la fonctionnalité d’intégrité et d’audit de Microsoft Sentinel doit être activée, et plus particulièrement la surveillance de l’intégrité des règles d’analyse. Découvrez comment activer l’intégrité et l’audit.

Afficher les insights des règles d’analyse

Pour tirer parti de ces outils, commencez par examiner les insights sur une règle donnée.

  1. Dans le menu de navigation Microsoft Sentinel, sélectionnez Analytique.

  2. Recherchez et sélectionnez une règle (planifiée ou NRT) dont vous souhaitez afficher les insights.

  3. Sélectionnez l’onglet Insights dans le volet d’informations.

    Capture d’écran de la sélection d’une règle d’analyse.

  4. Lorsque vous sélectionnez l’onglet Insights , le sélecteur de période s’affiche. Sélectionnez une période ou laissez-la comme période par défaut des dernières 24 heures.

    Capture d’écran du sélecteur de période sur la page Analytics.

Le panneau Insights affiche actuellement quatre types d’insights. Chaque insight est suivi d’un lien Afficher tout qui vous dirige vers la page Journaux et affiche la requête qui a produit l’insight avec les résultats bruts complets. Voici les insights :

  • Les exécutions ayant échoué affichent la liste des exécutions ayant échoué de cette règle dans la période donnée. Cet aperçu est également suivi d’un lien vers le volet Exécutions de règle, où vous pouvez voir une liste de toutes les fois où la règle s’est exécutée et vous pouvez relire des exécutions spécifiques de la règle.

  • Principaux problèmes d’intégrité affiche une liste des problèmes d’intégrité les plus courants pour cette règle pendant la période donnée. Cet insight est également suivi d’un lien Afficher les exécutions qui vous dirige vers la page Journaux où vous verrez une requête de toutes les fois que cette règle a été exécutée.

  • Le graphique des alertes montre un graphique du nombre d’alertes générées par cette règle dans la période donnée.

  • La classification des incidents présente un résumé de la classification des incidents fermés créés par cette règle pendant la période donnée.

Réexécuter les règles d’analyse

Plusieurs scénarios peuvent vous amener à réexécuter une règle.

  • Une règle n’a pas pu s’exécuter en raison d’une condition temporaire qui est revenue à la normale ou d’une configuration incorrecte. Une fois que vous avez corrigé la configuration incorrecte ou réparé la condition, vous pouvez réexécuter la règle dans la même fenêtre de temps (c’est-à-dire sur les mêmes données) que l’exécution qui a échoué, afin d’atténuer les écarts de couverture.

  • Une règle a réussi à s’exécuter, mais n’a pas fourni suffisamment d’informations dans les alertes qu’elle a générées. Dans ce cas, vous pouvez modifier la règle pour fournir plus d’informations, que ce soit en modifiant la requête ou les paramètres d’enrichissement. Vous pouvez ensuite réexécuter la règle dans la même fenêtre de temps (c’est-à-dire sur les mêmes données) que l’exécution pour laquelle vous souhaitez obtenir plus d’informations.

  • Vous pouvez expérimenter l’écriture ou la modification d’une règle et vous souhaitez voir comment différents paramètres affectent les alertes générées par la règle. Pour une comparaison valide, vous souhaitez réexécuter la règle dans la même fenêtre de temps.

Voici comment réexécuter une règle :

  1. Dans la page Analytics , sélectionnez Exécutions de règles (préversion) dans la barre d’outils en haut. Le panneau Exécutions de la règle s’ouvre.

    Capture d’écran du panneau d’accès aux exécutions de règle.

    Vous pouvez également accéder au panneau Exécutions de règles en sélectionnant Réexécuter les règles dans l’affichage Exécutions ayant échoué sous l’onglet Insights (voir ci-dessus).

    Capture d’écran du panneau Exécutions de règles.

  2. Sélectionnez les exécutions de règle que vous souhaitez relire, en fonction de la fenêtre de temps dans laquelle elles ont été exécutées à l’origine, comme indiqué dans la colonne Durée d’exécution . Vous pouvez choisir plusieurs exécutions de règles.

    Capture d’écran du choix des exécutions de règle à réexécuter.

  3. Sélectionnez Relire l’exécution. Les notifications qui indiquent la progression des demandes et que les règles ont été mises en file d’attente pour l’exécution s’affichent.

    Capture d’écran des notifications d’exécution de règle.

  4. Sélectionnez Actualiser pour afficher les status mises à jour des exécutions de la règle. Vous verrez que vos demandes s’affichent parmi elles, avec une status en cours (elle s’affichera finalement comme Réussite) et un type de déclencheur utilisateur par opposition à déclenché par le système.

    Capture d’écran de la progression des réexécutions de règle.

    Vous remarquerez également que la durée d’exécution de vos réexécutions demandées est identique à l’exécution de l’exécution déclenchée par le système d’origine, et non à l’heure d’exécution de votre réexécution. Il s’agit de vous montrer la fenêtre de temps référencée par votre réexécution.

    Vous pouvez uniquement relire les exécutions de règles déclenchées par le système, et non celles déclenchées par l’utilisateur.

Sélectionnez Afficher les détails complets à la fin de la ligne d’une exécution de règle pour afficher ses détails bruts complets dans l’écran Journaux .

Étapes suivantes

  • Last updated on