Agréger des données Microsoft Sentinel avec des règles récapitulatives

Utilisez des règles récapitulatives dans Microsoft Sentinel pour agréger de grands ensembles de données en arrière-plan pour une expérience plus fluide des opérations de sécurité sur tous les niveaux de journal. Les données récapitulatives sont précompilées dans les tables de journaux personnalisées et fournissent des performances de requête rapides, y compris les requêtes exécutées sur des données dérivées de niveaux de journalisation à faible coût. Les règles récapitulatives peuvent vous aider à optimiser vos données pour :

• Analyse et rapports, en particulier sur des jeux de données et des intervalles de temps volumineux, comme requis pour l’analyse de la sécurité et des incidents, les rapports d’activité mensuels ou annuels, etc.
• Économies sur les journaux détaillés, que vous pouvez conserver aussi peu ou aussi longtemps que nécessaire dans un niveau de journal moins coûteux, et envoyer des données résumées uniquement à une table Analytics à des fins d’analyse et de rapports.
• Sécurité et confidentialité des données, en supprimant ou en obfusquant les détails de confidentialité dans les données partageables résumées et en limitant l’accès aux tables avec des données brutes.

Microsoft Sentinel stocke les résultats des règles récapitulatives dans des tables personnalisées avec le plan de données Analytics. Pour plus d’informations sur les plans de données et les coûts de stockage, consultez Plans de table de journal.

Cet article explique comment créer des règles récapitulatives ou déployer des modèles de règles de résumé prédéfinis dans Microsoft Sentinel, et fournit des exemples de scénarios courants d’utilisation de règles récapitulatives.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Configuration requise

Pour créer des règles récapitulatives dans Microsoft Sentinel :

• Microsoft Sentinel doivent être activés dans au moins un espace de travail et consommer activement les journaux.

• Vous devez être en mesure d’accéder à Microsoft Sentinel avec Microsoft Sentinel autorisations Contributeur. Pour plus d’informations, consultez Rôles et autorisations dans Microsoft Sentinel.

• Pour créer des règles récapitulatives dans le portail Microsoft Defender, vous devez d’abord intégrer votre espace de travail au portail Defender. Pour plus d’informations, consultez Connecter Microsoft Sentinel au portail Microsoft Defender.

Nous vous recommandons de tester votre requête de règle récapitulative dans la page Journaux avant de créer votre règle. Vérifiez que la requête n’atteint pas ou s’approche de la limite de requête, et case activée que la requête produit le schéma prévu et les résultats attendus. Si la requête est proche des limites de requête, envisagez d’utiliser un plus petit binSize pour traiter moins de données par emplacement. Vous pouvez également modifier la requête pour retourner moins d’enregistrements ou supprimer des champs avec un volume plus élevé.

Créer une règle récapitulative

Créez une règle récapitulative pour agréger un grand ensemble spécifique de données dans une table dynamique. Configurez la fréquence de votre règle pour déterminer la fréquence à laquelle votre jeu de données agrégés est mis à jour à partir des données brutes.

1. Ouvrez l’Assistant Règle de résumé :

   • Dans le portail Defender, sélectionnez Microsoft Sentinel Règles récapitulatives > de configuration>.

   • Dans le Portail Azure, dans le menu de navigation Microsoft Sentinel, sous Configuration, sélectionnez Règles récapitulatives. Par exemple :

     

2. Sélectionnez + Créer et entrez les détails suivants :

   • Nom. Entrez un nom explicite pour votre règle.

   • Description. Entrez une description facultative.

   • Table de destination. Définissez la table de journal personnalisée dans laquelle vos données sont agrégées :

     • Si vous sélectionnez Table de journaux personnalisée existante, sélectionnez la table que vous souhaitez utiliser.

     • Si vous sélectionnez Nouvelle table de journaux personnalisée, entrez un nom explicite pour votre table. Le nom complet de votre table utilise la syntaxe suivante : <tableName>_CL.

3. Nous vous recommandons d’activer les paramètres de diagnostic SummaryLogs sur votre espace de travail pour obtenir une visibilité des exécutions et des échecs historiques. Si les paramètres de diagnostic SummaryLogs ne sont pas activés, vous êtes invité à les activer dans la zone Paramètres de diagnostic .

   Si les paramètres de diagnostic SummaryLogs sont déjà activés , mais que vous souhaitez modifier les paramètres, sélectionnez Configurer les paramètres de diagnostic avancés. Lorsque vous revenez à la page de l’Assistant Règle de résumé , veillez à sélectionner Actualiser pour actualiser les détails de votre paramètre.

   Importante

   Le paramètre de diagnostic SummaryLogs a des coûts supplémentaires. Pour plus d’informations, consultez Paramètres de diagnostic dans Azure Monitor.

4. Sélectionnez Suivant : Définir la logique >de résumé pour continuer.

5. Dans la page Définir la logique de résumé , entrez votre requête récapitulative. Par exemple, pour résumer les données de Google Cloud Platform, vous pouvez entrer :

   GCPAuditLogs
   | where ServiceName == 'pubsub.googleapis.com'
   | summarize count() by Severity
   

   Pour plus d’informations, consultez Exemples de scénarios de règle récapitulative et Langage de requête Kusto (KQL) dans Azure Monitor.

6. Sélectionnez Aperçu des résultats pour afficher un exemple des données que vous collecteriez avec la requête configurée.

7. Dans la zone Planification des requêtes , définissez les détails suivants :

   • Fréquence à laquelle vous souhaitez que la règle s’exécute
   • Si vous souhaitez que la règle s’exécute avec n’importe quel délai, en minutes
   • Quand vous souhaitez que la règle commence à s’exécuter

   Les heures définies dans la planification sont basées sur la timegenerated colonne dans vos données

8. Sélectionnez Suivant : Vérifier + créer >>Enregistrer pour terminer la règle récapitulative.

Les règles récapitulatives existantes sont répertoriées dans la page Règles récapitulatives, où vous pouvez passer en revue votre status de règle. Pour chaque règle, sélectionnez le menu d’options à la fin de la ligne pour effectuer l’une des actions suivantes :

• Afficher les données actuelles de la règle dans la page Journaux , comme si vous deviez exécuter la requête immédiatement
• Afficher l’historique des exécutions de la règle sélectionnée
• Désactivez ou activez la règle.
• Modifier la configuration de la règle

Pour supprimer une règle, sélectionnez la ligne de règle, puis sélectionnez Supprimer dans la barre d’outils en haut de la page.

Remarque

Azure Monitor prend également en charge la création de règles récapitulatives via une API ou un modèle ARM (Azure Resource Monitor). Pour plus d’informations, consultez Créer ou mettre à jour une règle récapitulative.

Déployer des modèles de règles récapitulatives prédéfinis

Les modèles de règle de résumé sont des règles récapitulatives prédéfinies que vous pouvez déployer telles quels ou personnaliser en fonction de vos besoins.

Pour déployer un modèle de règle récapitulative :

1. Ouvrez le hub de contenu et filtrez le type de contenu par règles de résumé pour afficher les modèles de règle de résumé disponibles.

   

2. Sélectionnez un modèle de règle récapitulative.

   Un panneau contenant des informations sur le modèle de règle de résumé s’ouvre, affichant des champs tels que description, requête récapitulative et table de destination.

   

3. Sélectionnez Installer pour installer le modèle.

4. Sélectionnez l’onglet Modèles dans la page Règles récapitulatives , puis sélectionnez la règle récapitulative que vous avez installée.

   

5. Sélectionnez Créer pour ouvrir l’Assistant Règle de résumé, où tous les champs sont préremplis.

6. Parcourez l’Assistant Règle de résumé et sélectionnez Enregistrer pour déployer la règle récapitulative.

   Pour plus d’informations sur l’Assistant Règle de résumé, consultez Créer une règle récapitulative.

Exemples de scénarios de règle récapitulative dans Microsoft Sentinel

Cette section passe en revue les scénarios courants de création de règles récapitulatives dans Microsoft Sentinel, ainsi que nos recommandations sur la façon de configurer chaque règle. Pour plus d’informations et d’exemples, consultez Résumer les insights des données brutes d’une table Auxiliaire à une table Analytics dans Microsoft Sentinel et Sources de journaux à utiliser pour l’ingestion des journaux auxiliaires.

Trouver rapidement une adresse IP malveillante dans votre trafic réseau

Scénario : Vous êtes un chasseur de menaces, et l’un des objectifs de votre équipe est d’identifier toutes les instances où une adresse IP malveillante a interagi dans les journaux du trafic réseau à partir d’un incident actif, au cours des 90 derniers jours.

Défi : Microsoft Sentinel ingère actuellement plusieurs téraoctets de journaux réseau par jour. Vous devez les parcourir rapidement pour trouver des correspondances pour l’adresse IP malveillante.

Solution : Nous vous recommandons d’utiliser des règles récapitulatives pour effectuer les opérations suivantes :

1. Créez un jeu de données récapitulative pour chaque adresse IP liée à l’incident, y compris , SourceIPDestinationIPMaliciousIP, , RemoteIP, , chaque liste des attributs importants, tels que IPType, FirstTimeSeenet .LastTimeSeen

   Le jeu de données de synthèse vous permet de rechercher rapidement une adresse IP spécifique et de limiter l’intervalle de temps où l’adresse IP est trouvée. Vous pouvez le faire même lorsque les événements recherchés se sont produits il y a plus de 90 jours, ce qui est au-delà de la période de rétention de leur espace de travail.

   Dans cet exemple, configurez le résumé pour qu’il s’exécute quotidiennement, afin que la requête ajoute de nouveaux enregistrements récapitulatives tous les jours jusqu’à son expiration.

2. Créez une règle d’analyse qui s’exécute pendant moins de deux minutes sur le jeu de données résumé, en explorant rapidement l’intervalle de temps spécifique lorsque l’adresse IP malveillante a interagi avec le réseau de l’entreprise.

   Veillez à configurer des intervalles d’exécution allant jusqu’à cinq minutes au minimum pour prendre en charge différentes tailles de charge utile récapitulative. Cela garantit qu’il n’y a pas de perte, même en cas de retard d’ingestion d’événement.

   Par exemple :

   let csl_columnmatch=(column_name: string) {
   summarized_CommonSecurityLog
   | where isnotempty(column_name)
   | extend
       Date = format_datetime(TimeGenerated, "yyyy-MM-dd"),
       IPaddress = column_ifexists(column_name, ""),
       FieldName = column_name
   | extend IPType = iff(ipv4_is_private(IPaddress) == true, "Private", "Public")
   | where isnotempty(IPaddress)
   | project Date, TimeGenerated, IPaddress, FieldName, IPType, DeviceVendor
   | summarize count(), FirstTimeSeen = min(TimeGenerated), LastTimeSeen = min(TimeGenerated) by Date, IPaddress, FieldName, IPType, DeviceVendor
   };
   union csl_columnmatch("SourceIP")
       , csl_columnmatch("DestinationIP") 
       , csl_columnmatch("MaliciousIP")
       , csl_columnmatch("RemoteIP")
   // Further summarization can be done per IPaddress to remove duplicates per day on larger timeframe for the first run
   | summarize make_set(FieldName), make_set(DeviceVendor) by IPType, IPaddress
   

3. Exécutez une recherche ou une corrélation ultérieure avec d’autres données pour terminer l’histoire de l’attaque.

Générer des alertes sur les correspondances de renseignement sur les menaces sur les données réseau

Générez des alertes sur les correspondances de renseignement sur les menaces contre les données réseau bruyantes, à volume élevé et à faible valeur de sécurité.

Scénario : vous devez créer une règle d’analyse pour que les journaux de pare-feu correspondent aux noms de domaine du système qui ont été visités par rapport à une liste de noms de domaine de renseignement sur les menaces.

La plupart des sources de données sont des journaux bruts qui sont bruyants et ont un volume élevé, mais ont une valeur de sécurité inférieure, y compris les adresses IP, le trafic Pare-feu Azure, le trafic Fortigate, etc. Il y a un volume total d’environ 1 To par jour.

Défi : La création de règles distinctes nécessite plusieurs applications logiques, ce qui nécessite des frais supplémentaires de configuration et de maintenance.

Solution : Nous vous recommandons d’utiliser des règles récapitulatives pour effectuer les opérations suivantes :

1. Créez une règle récapitulative :

   1. Étendez votre requête pour extraire des champs clés, tels que l’adresse source, l’adresse de destination et le port de destination de la table CommonSecurityLog_CL , qui est le CommonSecurityLog avec le plan Auxiliaire.

   2. Effectuez une recherche interne sur les indicateurs de renseignement sur les menaces actifs pour identifier les correspondances avec notre adresse source. Cela vous permet de croiser vos données avec des menaces connues.

   3. Projetez des informations pertinentes, notamment l’heure générée, le type d’activité et les adresses IP source malveillantes, ainsi que les détails de la destination. Définissez la fréquence d’exécution de la requête et la table de destination, telle que MaliciousIPDetection . Les résultats de cette table se trouvent dans le niveau analytique et sont facturés en conséquence.

2. Créez une alerte :

   La création d’une règle d’analyse dans Microsoft Sentinel qui émet des alertes basées sur les résultats de la table MaliciousIPDetection. Cette étape est cruciale pour la détection proactive des menaces et la réponse aux incidents.

Exemple de règle récapitulative :

CommonSecurityLog_CL​
| extend sourceAddress = tostring(parse_json(Message).sourceAddress), destinationAddress = tostring(parse_json(Message).destinationAddress), destinationPort = tostring(parse_json(Message).destinationPort)​
| lookup kind=inner (ThreatIntelligenceIndicator | where Active == true ) on $left.sourceAddress == $right.NetworkIP​
| project TimeGenerated, Activity, Message, DeviceVendor, DeviceProduct, sourceMaliciousIP =sourceAddress, destinationAddress, destinationPort

Contenu connexe

• Agréger des données dans l’espace de travail Log Analytics avec des règles de résumé
• Planifier les coûts et comprendre Microsoft Sentinel tarification et facturation
• Sources de journaux à utiliser pour l’ingestion des journaux auxiliaires
• Restrictions et limitations des règles de synthèse