Lire en anglais

Partager via

Utiliser la veille des menaces dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Accélérez la détection et la correction des menaces grâce à la création et à la gestion simplifiées de la veille des menaces. Cet article montre comment tirer le meilleur parti de l’intégration des informations sur les menaces dans l’interface de gestion, que vous y accédiez à partir de Microsoft Sentinel dans le portail Azure ou le portail Defender.

  • Créer des objets de veille des menaces à l’aide d’une expression structurée d’informations sur les menaces (STIX)
  • Gérer la veille des menaces avec l’affichage, l’organisation et la visualisation

Important

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Accéder à l’interface de gestion

Référencez l’un des onglets suivants, selon l’emplacement où vous souhaitez utiliser la veille des menaces. Même si l’on accède différemment à l’interface de gestion selon le portail utilisé, les tâches de création et de gestion suivent les mêmes étapes une fois qu’on y arrive.

Dans le portail Defender, accédez à Veille des menaces>Gestion de veille.

Capture d’écran montrant l’élément du menu de gestion de veille dans le portail Defender.

Créer une veille des menaces

Utilisez l’interface de gestion pour créer des objets STIX et effectuer d’autres tâches courantes de veille des menaces, telles que l’étiquetage des indicateurs et l’établissement de connexions entre les objets.

  • Définissez des relations à mesure que vous créez de nouveaux objets STIX.
  • Créez rapidement plusieurs objets en utilisant la fonctionnalité de duplication pour copier les métadonnées à partir d’un objet de veille des menaces nouveau ou existant.

Pour plus d’informations sur la prise en charge des objets STIX, consultez Comprendre la veille des menaces.

Créer un objet STIX

  1. Sélectionnez Nouvel ajout>Objet de veille des menaces.

    Capture d’écran qui montre l’ajout d’un nouvel indicateur de menace.

  2. Choisissez le Type d’objet, puis remplissez le formulaire sur la page Nouvel objet de veille des menaces. Les champs obligatoires sont indiqués par un astérisque rouge (*).

  3. Envisagez de concevoir une valeur de confidentialité ou de évaluation du protocole Traffic light (TLP) à l’objet TI. Pour plus d’informations sur les valeurs représentées, consultez Conserver la veille des menaces.

  4. Si vous connaissez la relation de cet objet avec un autre objet de veille des menaces, indiquez cette connexion avec le Type de relation et la Référence cible.

  5. Sélectionnez Ajouter pour un objet individuel ou Ajouter et dupliquer si vous souhaitez créer d’autres éléments avec les mêmes métadonnées. L’image suivante montre la section commune des métadonnées de chaque objet STIX qui est dupliquée.

Capture d’écran montrant la création d’un objet STIX et les métadonnées communes disponibles pour tous les objets.

Gérer la veille des menaces

Optimisez la veille des menaces à partir de vos sources avec des règles d’ingestion. Organisez la veille des menaces existante avec le générateur de relations. Utilisez l’interface de gestion pour rechercher, filtrer et trier, puis ajouter des balises à votre veille des menaces.

Optimiser les flux de veille des menaces avec des règles d’ingestion

Réduisez le bruit de vos flux de veille des menaces, étendez la validité des indicateurs de valeur élevée et ajoutez des étiquettes explicites aux objets entrants. Ce ne sont là que quelques-uns des cas d’utilisation des règles d’ingestion. Voici les étapes à suivre pour étendre la date de validité des indicateurs de valeur élevée.

  1. Sélectionnez Règles d’ingestion pour ouvrir une toute nouvelle page vous permettant d’afficher les règles existantes et de construire une nouvelle logique de règle.

    Capture d’écran montrant le menu de gestion de la veille des menaces, avec le curseur placé sur Règles d’ingestion.

  2. Entrez un nom descriptif pour votre règle. La page des règles d’ingestion offre suffisamment de place pour le nom, mais il s’agit de la seule description de texte disponible pour différencier vos règles sans les modifier.

  3. Sélectionnez le Type d’objet. Ce cas d’utilisation est basé sur l’extension de la propriété Valid from, qui n’est disponible que pour les types d’objets Indicator.

  4. Sélectionnez Ajouter une condition pour SourceEquals, puis sélectionnez votre Source à valeur élevée.

  5. Sélectionnez Ajouter une condition pour ConfidenceGreater than or equal, puis entrez un score de Confidence.

  6. Sélectionnez l’Action. Comme nous voulons modifier cet indicateur, sélectionnez Edit.

  7. Sélectionnez Ajouter une action pour Valid until, Extend by, puis sélectionnez un intervalle de temps en jours.

  8. Songez à ajouter une étiquette pour indiquer la valeur élevée placée sur ces indicateurs, comme Extended. La date de modification n’est pas mise à jour par les règles d’ingestion.

  9. Sélectionnez l’Ordre dans lequel vous souhaitez que la règle s’exécute. Les règles s’exécutent du numéro d’ordre le plus bas au plus élevé. Chaque règle évalue chaque objet ingéré.

  10. Si la règle est prête à être activée, basculez État sur Activé.

  11. Sélectionnez Ajouter pour créer la règle d’ingestion.

Capture d’écran montrant la création d’une règle d’ingestion pour étendre la date de validité.

Pour plus d’informations, consultez Comprendre les règles d’ingestion de veille des menaces.

Organiser la veille des menaces avec le générateur de relations

Connectez des objets de veille des menaces avec le générateur de relations. Il peut y avoir un maximum de 20 relations dans le générateur à la fois. Cependant, d’autres connexions peuvent être créées en utilisant plusieurs itérations et en ajoutant des références cibles de relation pour les nouveaux objets.

  1. Commencez par un objet comme un acteur de menace ou un modèle d’attaque, où l’objet unique se connecte à un ou plusieurs autres objets, comme des indicateurs.

  2. Ajoutez le type de relation conformément aux meilleures pratiques décrites dans le tableau suivant et dans le tableau de synthèse de relation de référence STIX 2.1 :

Type de relation Description
Doublon de
Dérivé de
Lié à		 Relations communes définies pour n’importe quel objet de domaine STIX (SDO)
Pour plus d’informations, consultez la référence STIX 2.1 sur les relations communes
Targets Attack pattern ou Threat actor cible Identity
Utilisations Threat actor utilise Attack pattern
Attribué à Threat actor attribué à Identity
Indique Indicator indique Attack pattern ou Threat actor
Usurpation d’identité Threat actor usurpe l’identité de Identity

L’image suivante illustre les connexions établies entre un acteur de menace et un modèle d’attaque, un indicateur et une identité à l’aide du tableau de type de relation.

Capture d’écran montrant le générateur de relations.

Afficher vos informations de veille des menaces dans l’interface de gestion

Utilisez l’interface de gestion pour trier, filtrer et rechercher vos informations de veille des menaces dans la source à partir de laquelle elles ont été ingérées, sans rédiger de requête Log Analytics.

  1. Dans l’interface de gestion, développez le menu Que souhaitez-vous rechercher ?.

  2. Sélectionnez un type d’objet STIX ou conservez la valeur par défaut Tout type d’objet.

  3. Sélectionnez des conditions à l’aide d’opérateurs logiques.

  4. Sélectionnez l’objet à propos duquel vous souhaitez afficher plus d’informations.

Dans l’image suivante, plusieurs sources ont été utilisées pour faire une recherche en les plaçant dans un groupe OR, tandis que plusieurs conditions ont été regroupées avec l’opérateur AND.

Capture d’écran montrant un opérateur OR combiné à plusieurs conditions AND pour rechercher dans la veille des menaces.

Microsoft Sentinel affiche uniquement la version la plus récente de votre veille des menaces dans cette vue. Pour plus d’informations sur la façon dont les objets sont mis à jour, consultez Comprendre la veille des menaces.

Les indicateurs relatifs aux adresses IP et aux noms de domaine sont enrichis avec des données GeoLocation et WhoIs supplémentaires. Cela vous permet de fournir plus de contexte pour des enquêtes dans lesquelles un indicateur est trouvé.

Voici un exemple.

Capture d’écran illustrant la page Veille des menaces avec un indicateur qui montre les données de Géolocalisation et WhoIs.

Important

L’enrichissement GeoLocation et WhoIs est actuellement en préversion. Les Conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.

Baliser et modifier la veille des menaces

Le balisage des informations de veille des menaces est un moyen rapide de regrouper des objets pour faciliter leur recherche. Vous appliquez en général des balises liées à un incident particulier. Cependant, si un objet représente des menaces provenant d’un acteur connu ou d’une campagne d’attaque connue spécifique, envisagez de créer une relation au lieu d’une balise.

  1. Utilisez l’interface de gestion pour trier, filtrer et rechercher vos informations de veille des menaces.
  2. Une fois que vous avez trouvé les objets que vous souhaitez utiliser, sélectionnez-les en choisissant un ou plusieurs objets du même type.
  3. Sélectionnez Ajouter des balises et marquez-les tous en même temps avec une ou plusieurs balises.
  4. Étant donné que le marquage est de forme libre, nous vous recommandons de créer des conventions d'appellation standard pour les balises au sein de votre organisation.

Modifiez la veille des menaces un objet à la fois, qu’il soit créé directement dans Microsoft Sentinel ou à partir de sources partenaires, comme des serveurs TIP et TAXII. Tous les champs sont modifiables pour les informations de veille des menaces créées dans l’interface de gestion. Pour les informations de veille des menaces provenant de sources partenaires, seuls certains champs sont modifiables, dont les balises Date d’expiration, Confiance et Révoqué. Dans tous les cas, seule la dernière version de l’objet apparaît dans l’interface de gestion.

Pour plus d’informations sur la façon dont la veille des menaces est mise à jour, consultez Afficher votre veille des menaces.

Rechercher et afficher vos indicateurs avec des requêtes

Cette procédure décrit comment afficher vos indicateurs de menaces dans Log Analytics, ainsi que d’autres données d’événement Microsoft Sentinel, quel que soit le flux source ou la méthode utilisée pour les ingérer.

Les indicateurs de menaces sont répertoriés dans le tableau ThreatIntelligenceIndicator de Microsoft Sentinel. Ce tableau est la base des requêtes de veille des menaces effectuées par d’autres fonctionnalités de Microsoft Sentinel, comme l’Analytique, le Repérage et les Classeurs.

Pour afficher vos indicateurs de veille des menaces :

  1. Pour Microsoft Sentinel dans le Portail Azure, sous Général, sélectionnez Journaux.

    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Enquête et réponse>Chasse>Chasse avancée.

  2. La table ThreatIntelligenceIndicator se trouve sous le groupe Microsoft Sentinel.

  3. Sélectionnez l’icône Aperçu des données (l’œil) à côté du nom de la table. Sélectionnez Afficher dans l’éditeur de requête pour exécuter une requête qui montre les enregistrements de cette table.

    Vos résultats doivent ressembler à l’exemple d’indicateur de menace illustré ici.

    Capture d'écran illustrant un exemple de résultats de la table ThreatIntelligenceIndicator avec les informations développées.

Visualiser votre veille des menaces avec les classeurs

Utilisez un classeur Microsoft Sentinel spécialement conçu pour visualiser les informations essentielles concernant votre renseignement sur les menaces dans Microsoft Sentinel, et personnaliser facilement le classeur en fonction des besoins de votre entreprise.

Voici comment trouver le classeur de renseignement sur les menaces fourni dans Microsoft Sentinel, et comment y apporter des modifications pour le personnaliser.

  1. À partir du portail Azure, allez sur Microsoft Sentinel.

  2. Choisissez l’espace de travail dans lequel vous avez importé des indicateurs de menace en utilisant le connecteur de données de la veille des menaces.

  3. Sous la section Gestion des menaces du menu Microsoft Sentinel, sélectionnez Classeurs.

  4. Recherchez le classeur intitulé Veille des menaces. Vérifiez que vous avez des données dans la table ThreatIntelligenceIndicator.

    Capture d’écran montrant la vérification que vous disposez de données.

  5. Sélectionnez Enregistrer, puis choisissez un emplacement Azure dans lequel stocker le classeur. Cette étape est obligatoire si vous envisagez de modifier le classeur de quelque façon que ce soit et d’enregistrer les modifications apportées.

  6. Sélectionnez maintenant Afficher le classeur enregistré pour ouvrir le classeur afin de le consulter et de le modifier.

  7. Vous devez maintenant voir les graphiques par défaut fournis par le modèle. Pour modifier un graphique, sélectionnez Modifier en haut de la page afin démarrer le mode édition pour le classeur.

  8. Ajoutons un nouveau graphique des indicateurs de menace par type de menace. Faites défiler la page vers le bas, puis sélectionnez Ajouter une requête.

  9. Ajoutez le texte suivant dans la zone de texte Journal des requêtes de l’espace de travail Log Analytics :

    Kusto 
    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Consultez plus d’informations sur les éléments suivants utilisés dans l’exemple précédent, dans la documentation Kusto :

  10. Dans le menu déroulant Visualisation, sélectionnez Histogramme.

  11. Sélectionnez Fin de l’édition, puis affichez le nouveau graphique pour votre classeur.

    Capture d’écran qui montre un histogramme pour le classeur.

Les classeurs fournissent des tableaux de bord interactifs puissants qui vous donnent des aperçus de tous les aspects de Microsoft Sentinel. Vous pouvez effectuer plusieurs tâches avec des classeurs et les modèles fournis constituent un excellent point de départ. Personnalisez les modèles ou créez des tableaux de bord en associant plusieurs sources de données pour visualiser vos données de manière unique.

Les classeurs Microsoft Sentinel étant basés sur des classeurs Azure Monitor, une documentation complète et de nombreux autres modèles sont déjà disponibles. Pour découvrir plus d’informations, consultez Créer des rapports interactifs avec les classeurs Azure Monitor.

Il existe également une ressource enrichie de classeurs Azure Monitor sur GitHub où vous pouvez télécharger d’autres modèles et partager à vos propres modèles.

Contenu connexe

Pour plus d’informations, consultez les articles suivants :

Pour découvrir plus d’informations sur KQL, consultez Vue d’ensemble du langage de requête Kusto (KQL).

Autres ressources :