Partager via

Détection des menaces dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Après avoir configuré Microsoft Sentinel pour collecter des données à partir de toute votre organisation, vous devez constamment explorer toutes ces données pour détecter les menaces de sécurité dans votre environnement. Pour accomplir cette tâche, Microsoft Sentinel fournit des règles de détection des menaces qui s’exécutent régulièrement, et interrogent les données collectées et les analysent pour détecter les menaces. Ces règles viennent dans quelques versions différentes et sont collectivement appelées règles d’analyse.

Ces règles génèrent des alertes lorsqu’elles trouvent ce qu’elles recherchent. Les alertes contiennent des informations sur les événements détectés, tels que les entités (utilisateurs, appareils, adresses et autres éléments) impliquées. Les alertes sont agrégées et corrélées en incidents ( fichiers de cas) que vous pouvez affecter et examiner pour découvrir l’étendue complète de la menace détectée et répondre en conséquence. Vous pouvez également générer des réponses prédéterminées et automatisées dans la configuration propre aux règles.

Vous pouvez créer ces règles à partir de zéro, avec l’Assistant Règle analytique intégré. Toutefois, Microsoft vous encourage fortement à utiliser le vaste éventail de modèles de règles d’analytique disponibles via les nombreuses solutions de Microsoft Sentinel fournies dans le hub de contenu. Ces modèles sont des prototypes de règle prédéfinis, conçus par des équipes d’analystes et d’experts en sécurité, basés sur leur connaissance des menaces connues, des vecteurs d’attaque courants et des chaînes d’escalade d’activités suspectes. Vous activez les règles à partir de ces modèles pour rechercher automatiquement toute activité qui semble suspecte dans votre environnement. La plupart des modèles peuvent être personnalisés pour rechercher des types d’événement spécifiques, ou les masquer, en fonction de vos besoins.

Cet article vous aide à comprendre comment Microsoft Sentinel détecte les menaces et ce qui se passe ensuite.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Types de règles analytiques

Vous pouvez consulter les règles d'analyse et les modèles disponibles à utiliser sur la page Analytics du menu Configuration de Microsoft Sentinel. Les règles actuellement actives sont visibles sous un onglet et les modèles pour créer de nouvelles règles dans un autre onglet. Un troisième onglet affiche les anomalies, un type de règle spécial décrit plus loin dans cet article.

Pour trouver plus de modèles de règle que ceux actuellement affichés, accédez au hub de contenu dans Microsoft Sentinel pour installer les solutions de produit associées ou le contenu autonome. Des modèles de règle analytique sont disponibles avec presque toutes les solutions de produit dans le hub de contenu.

Les types suivants de règles analytiques et de modèles de règle sont disponibles dans Microsoft Sentinel :

En plus des types de règle précédents, il existe d’autres types de modèle spécialisé pouvant chacun créer une instance de règle, avec des options de configuration limitées :

Règles planifiées

De loin, le type de règle d’analytique le plus courant, les règles planifiées sont basées sur des requêtes Kusto configurées pour s’exécuter à intervalles réguliers et examiner les données brutes à partir d’une période définie de « lookback ». Si le nombre de résultats capturés par la requête dépasse le seuil configuré dans la règle, la règle produit une alerte.

Les requêtes dans les modèles de règles planifiés ont été écrites par des experts en sécurité et en science des données, de Microsoft ou du fournisseur de la solution fournissant le modèle. Les requêtes peuvent effectuer des opérations statistiques complexes sur les données cibles, révélant des bases de référence et des valeurs hors norme dans des groupes d’événements.

La logique de requête s’affiche dans la configuration de la règle. Vous pouvez utiliser la logique de requête et les paramètres de planification et de recherche comme définis dans le modèle, ou les personnaliser pour créer des règles. Vous pouvez également créer des règles entièrement nouvelles à partir de zéro.

En savoir plus sur les règles d’analytique planifiée dans Microsoft Sentinel.

Règles en quasi-temps réel

Les règles NRT sont un sous-ensemble limité de règles planifiées. Elles sont conçues pour s’exécuter une fois par minute, afin de vous fournir des informations aussi récentes que possible.

Elles fonctionnent principalement comme des règles planifiées et sont configurées de façon similaire, avec certaines limitations.

En savoir plus sur la détection rapide des menaces avec des règles d’analytique en temps quasi réel (NRT) dans Microsoft Sentinel.

Règles d’anomalie

Les règles d’anomalie utilisent le Machine Learning pour observer des types spécifiques de comportements sur une période donnée pour déterminer une base de référence. Chaque règle a ses propres paramètres et seuils uniques, adaptés au comportement en cours d’analyse. Une fois la période d’observation terminée, la base de référence est définie. Quand la règle observe des comportements qui dépassent les limites définies dans la base de référence, elle signale ces occurrences comme anormales.

Bien que les configurations des règles prêtes à l’emploi ne puissent pas être modifiées ou ajustées, vous pouvez dupliquer une règle, puis modifier et ajuster la duplication. Dans de tels cas, exécutez le doublon en mode Flighting et l’original en mode Production. Comparez ensuite les résultats et basculez la duplication en mode Production si et quand son ajustement vous convient.

Les anomalies elles-mêmes n’indiquent pas nécessairement un comportement malveillant ni même suspect. Par conséquent, les règles d’anomalie ne génèrent pas leurs propres alertes. Au lieu de cela, ils enregistrent les résultats de leur analyse ( les anomalies détectées) dans la table Anomalies . Vous pouvez interroger cette table pour fournir un contexte qui améliore vos détections, vos investigations et votre chasse des menaces.

Pour plus d’informations, consultez Utiliser des anomalies personnalisables pour détecter les menaces dans Microsoft Sentinel et Utiliser des règles d’analyse de détection d’anomalies dans Microsoft Sentinel.

Règles de sécurité Microsoft

Bien que les règles planifiées et NRT créent automatiquement des incidents pour les alertes qu’elles génèrent, les alertes générées dans des services externes et ingérées dans Microsoft Sentinel ne créent pas leurs propres incidents. Les modèles de sécurité Microsoft créent automatiquement des incidents Microsoft Sentinel à partir des alertes générées dans d’autres solutions de sécurité Microsoft, en temps réel. Vous pouvez utiliser des modèles de sécurité Microsoft pour créer des règles ayant une logique similaire.

Important

Les règles de sécurité Microsoft ne sont pas disponibles si vous avez :

Dans ces scénarios, Microsoft Defender XDR crée les incidents à la place.

Toutes les règles que vous avez définies au préalable sont automatiquement désactivées.

Pour plus d’informations sur les règles de création d’incidents de sécurité Microsoft , consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft.

Informations sur les menaces

Profitez des renseignements sur les menaces produits par Microsoft pour générer des alertes et des incidents de haute qualité avec la règle Microsoft Threat Intelligence Analytics. Cette règle unique n’est pas personnalisable, mais une fois activée, elle fait correspondre automatiquement des journaux CEF (Common Event Format), données Syslog ou événements DNS Windows aux indicateurs de menace d’URL, d’adresse IP et de domaine à partir de Microsoft Threat Intelligence. Certains indicateurs contiennent des informations de contexte supplémentaires via MDTI (Microsoft Defender Threat Intelligence).

Pour plus d’informations sur l’activation de cette règle, consultez Utiliser l’analytique correspondante pour détecter les menaces.
Pour plus d’informations sur MDTI, consultez Présentation de Microsoft Defender Threat Intelligence.

Détection des attaques multiphases avancées (Fusion)

Microsoft Sentinel utilise le moteur de corrélation Fusion, avec ses algorithmes d’apprentissage automatique évolutifs, pour détecter les attaques avancées en multistage en mettant en corrélation de nombreuses alertes et événements de faible fidélité entre plusieurs produits en incidents haute fidélité et actionnables. La règle avancée de détection d’attaque en plusieurs étapes est activée par défaut. Comme la logique est masquée et donc non personnalisable, il ne peut y avoir qu’une seule règle avec ce modèle.

Le moteur Fusion peut également mettre en corrélation les alertes produites par des règles d’analyse planifiées avec des alertes provenant d’autres systèmes, produisant ainsi des incidents haute fidélité.

Important

Le type de règle de détection d’attaque multistage avancén’est pas disponible si vous avez :

Dans ces scénarios, Microsoft Defender XDR crée les incidents à la place.

En outre, certains des modèles de détection Fusion sont actuellement en préversion (voir Détection avancée des attaques multistages dans Microsoft Sentinel pour voir ceux-ci). Consultez les conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour obtenir des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Analytique comportementale du Machine Learning (ML)

Tirez parti des algorithmes de Machine Learning propriétaires de Microsoft pour générer des alertes et des incidents haute fidélité avec les règles ML Behavior Analytics . Ces règles uniques (actuellement en préversion) ne sont pas personnalisables, mais lorsqu’elles sont activées, détectent des comportements de connexion SSH et RDP anormaux spécifiques en fonction des informations d’adresse IP et de géolocalisation et d’historique utilisateur.

Autorisations d’accès pour des règles d’analyse

Lorsque vous créez une règle d’analyse, un jeton d’autorisations d’accès est appliqué à la règle et enregistré avec elle. Ce jeton veille à ce que la règle puisse accéder à l’espace de travail qui contient les données interrogées par la règle, et que cet accès soit conservé même si le créateur de la règle perd l’accès à cet espace de travail.

Toutefois, il existe une exception à cet accès : lorsqu’une règle est créée pour accéder à des espaces de travail dans d’autres abonnements ou locataires, comme ce qui se passe dans le cas d’un MSSP, Microsoft Sentinel prend des mesures de sécurité supplémentaires pour empêcher l’accès non autorisé aux données client. Pour ces types de règles, les informations d’identification de l’utilisateur qui a créé la règle sont appliquées à la règle au lieu d’un jeton d’accès indépendant de sorte que, lorsque l’utilisateur n’a plus accès à l’autre abonnement ou tenant, la règle cesse de fonctionner.

Si vous utilisez Microsoft Sentinel dans un scénario inter-abonnements ou inter-tenants, sachez que si l’un de vos analystes ou ingénieurs perd l’accès à un espace de travail particulier, toutes les règles créées par cet utilisateur cessent de fonctionner. Dans ce cas, vous obtenez un message de surveillance de la santé concernant l'« accès insuffisant à la ressource », et la règle est désactivée automatiquement après avoir échoué un certain nombre de fois.

Exporter des règles vers un modèle ARM

Vous pouvez facilement exporter votre règle vers un modèle Azure Resource Manager (ARM) si vous souhaitez gérer et déployer vos règles en tant que code. Vous pouvez également importer des règles à partir de fichiers modèles afin de les afficher et de les modifier dans l’interface utilisateur.

Étapes suivantes