Preuves et entités d’incidents
Microsoft Sentinel utilise différentes sources d’informations de sécurité pour créer des incidents. Vous avez besoin de comprendre ces sources pour mieux exploiter la gestion des incidents dans Microsoft Sentinel.
Preuves d’incident
Les preuves d’incident comprennent les informations sur les événements de sécurité et les ressources Microsoft Sentinel associées qui identifient les menaces dans l’environnement Microsoft Sentinel. Les preuves montrent comment Microsoft Sentinel a identifié une menace et vous renvoient vers des ressources spécifiques qui peuvent améliorer votre connaissance des détails de l’incident.
Événements
Les événements vous renvoient à un ou plusieurs événements spécifiques de l’espace de travail Log Analytics associé à Microsoft Sentinel. Individuellement, ces espaces de travail contiennent généralement des milliers d’événements beaucoup trop nombreux à analyser manuellement.
Si une requête attachée à une règle analytique Microsoft Sentinel retourne des événements, elle les attache à l’incident généré pour un éventuel examen ultérieur. Vous pouvez utiliser ces événements pour comprendre l’étendue et la fréquence de l’incident avant d’investiguer davantage.
Alertes
La plupart des incidents sont générés à cause d’une alerte de règle analytique. Voici des exemples d’alertes :
- Détection de fichiers suspects.
- Détection d’activités utilisateur suspectes.
- Tentative d’élévation de privilège.
Les règles analytiques génèrent des alertes basées sur des requêtes KQL (Kusto Query Language) ou sur une connexion directe à des solutions de sécurité Microsoft comme Microsoft Defender pour le cloud ou Microsoft Defender XDR. Si vous activez le regroupement d’alertes, Microsoft Sentinel inclut toutes les preuves d’alerte associées pour l’incident.
Signets
Quand vous investiguez un incident, vous pouvez identifier des événements à suivre ou marquer à des fins d’investigation ultérieure. Vous pouvez conserver les requêtes exécutées dans Log Analytics en choisissant un ou plusieurs événements et en les désignant en tant que signets. Vous pouvez aussi enregistrer des notes et des étiquettes pour mieux documenter les processus de chasse aux menaces futurs. Les signets sont à votre disposition ainsi qu’à celle de vos coéquipiers.
Entités d’incident
Une entité d’incident fait référence à une ressource réseau ou utilisateur qui est impliquée dans un événement. Vous pouvez utiliser les entités comme des points d’entrée qui vous permettent d’explorer toutes les alertes et corrélations associées.
Les relations des entités s’avèrent utiles dans le cadre de l’examen des incidents. Au lieu d’analyser individuellement les alertes d’identité, les alertes réseau et les alertes d’accès aux données, vous pouvez utiliser les entités pour observer toutes les alertes associées à un utilisateur, un hôte ou une adresse spécifique dans votre environnement.
Voici quelques types d’entités :
- Compte
- Hôte
- IP
- URL
- FileHash
Par exemple, les entités peuvent vous aider à identifier toutes les alertes associées à un utilisateur spécifique chez Contoso, à l’ordinateur hôte de cet utilisateur et aux autres hôtes auxquels l’utilisateur s’est connecté. Vous pouvez déterminer les adresses IP associées à cet utilisateur, en exposant les événements et alertes susceptibles de faire partie de la même attaque.