Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Les signets de chasse dans Microsoft Sentinel vous aident à conserver les requêtes et les résultats de requête que vous jugez pertinents. Vous pouvez également enregistrer vos observations contextuelles et référencer vos résultats en ajoutant des notes et des balises. Les données avec signet sont visibles par vous et vos collègues pour faciliter la collaboration. Pour plus d’informations, consultez Signets.

Remarque

Les signets ne peuvent être créés que dans le Portail Azure. Bien que vous ne puissiez pas ajouter de signets dans le portail Microsoft Defender, vous pouvez voir les signets qui ont déjà été créés.

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Ajouter un signet (Portail Azure uniquement)

Créez un signet pour conserver les requêtes, les résultats, vos observations et vos résultats.

  1. Sous Gestion des menaces, sélectionnez Chasse.

  2. Sous l’onglet Requêtes , sélectionnez une ou plusieurs des requêtes de repérage.

  3. Dans la barre de commandes supérieure, sélectionnez Exécuter les requêtes sélectionnées.

  4. Sélectionnez Afficher les résultats de la requête. Par exemple :

    Capture d’écran de l’affichage des résultats de la requête à partir de Microsoft Sentinel repérage.

    Cette action ouvre les résultats de la requête dans le volet Journaux .

  5. Dans la liste des résultats de la requête de journal, utilisez les cases à cocher pour sélectionner une ou plusieurs lignes qui contiennent les informations qui vous intéressent.

  6. Dans Portail Azure, sélectionnez Ajouter un signet :

    Capture d’écran de l’ajout d’un signet de chasse à la requête.

  7. Sur la droite, dans le volet Ajouter un signet , si vous le souhaitez, mettez à jour le nom du signet, ajoutez des balises et des notes pour vous aider à identifier ce qui était intéressant dans l’élément.

  8. Les signets peuvent éventuellement être mappés à des techniques ou sous-techniques MITRE ATT&CK. Les mappages MITRE ATT&CK sont hérités des valeurs mappées dans les requêtes de chasse, mais vous pouvez également les créer manuellement. Sélectionnez la tactique MITRE ATT&CK associée à la technique souhaitée dans le menu déroulant de la section Tactiques & Techniques du volet Ajouter un signet . Le menu se développe pour afficher toutes les techniques MITRE ATT&CK, et vous pouvez sélectionner plusieurs techniques et sous-techniques dans ce menu.

    Capture d’écran montrant comment mapper des tactiques et techniques Mitre Attack à des signets.

  9. À présent, un ensemble étendu d’entités peut être extrait des résultats de requête avec signet pour une investigation plus approfondie. Dans la section Mappage d’entités , utilisez les listes déroulantes pour sélectionner les types d’entités et les identificateurs. Ensuite, mappez la colonne dans les résultats de la requête contenant l’identificateur correspondant. Par exemple :

    Capture d’écran de mappage des types d’entités pour les signets de chasse.

    Pour afficher le signet dans le graphique d’investigation, vous devez mapper au moins une entité. Les mappages d’entités aux types d’entités de compte, d’hôte, d’adresse IP et d’URL que vous avez créés sont pris en charge, ce qui préserve la compatibilité descendante.

  10. Sélectionnez Créer pour valider vos modifications et ajouter le signet. Toutes les données avec signet sont partagées avec d’autres analystes et constituent une première étape vers une expérience d’investigation collaborative.

Les résultats de la requête de journal prennent en charge les signets chaque fois que ce volet est ouvert à partir de Microsoft Sentinel. Par exemple, si vous sélectionnezJournauxgénéraux> dans la barre de navigation, sélectionnez des liens d’événements dans le graphique des investigations ou sélectionnez un ID d’alerte dans les détails complets d’un incident. Vous ne pouvez pas créer de signets lorsque le volet Journaux est ouvert à partir d’un autre emplacement, par exemple directement à partir de Azure Monitor.

Afficher et mettre à jour les signets

Recherchez et mettez à jour un signet à partir de l’onglet signet.

  1. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.
    Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestiondela chasse>.

  2. Sélectionnez l’onglet Signets pour afficher la liste des signets.

  3. Recherchez ou filtrez un ou plusieurs signets spécifiques.

  4. Sélectionnez des signets individuels pour afficher les détails du signet dans le volet droit.

  5. Apportez vos modifications en fonction des besoins. Vos modifications sont automatiquement enregistrées.

Remarque

Vous ne pouvez afficher que jusqu’à 1 000 signets dans l’onglet signet. Vous pouvez afficher le reste de vos données avec signet dans vos journaux. En savoir plus

Exploration des signets dans le graphique d’investigation

Visualisez vos données avec signet en lançant l’expérience d’investigation dans laquelle vous pouvez afficher, examiner et communiquer visuellement vos résultats à l’aide d’un diagramme de graphique d’entité interactif et d’chronologie.

  1. Sous l’onglet Signets , sélectionnez le ou les signets que vous souhaitez examiner.

  2. Dans les détails du signet, vérifiez qu’au moins une entité est mappée.

  3. Sélectionnez Examiner pour afficher le signet dans le graphique d’investigation.

Pour obtenir des instructions sur l’utilisation du graphe d’investigation, consultez Utiliser le graphe d’investigation pour approfondir la présentation.

Ajouter des signets à un incident nouveau ou existant (Portail Azure uniquement)

Ajoutez des signets à un incident à partir de l’onglet Signets de la page Chasse .

  1. Sous l’onglet Signets , sélectionnez le ou les signets que vous souhaitez ajouter à un incident.

  2. Sélectionnez Actions d’incident dans la barre de commandes :

    Capture d’écran de l’ajout de signets à l’incident.

  3. Sélectionnez Créer un incident ou Ajouter à un incident existant, le cas échéant. Ensuite :

    • Pour un nouvel incident : si vous le souhaitez, mettez à jour les détails de l’incident, puis sélectionnez Créer.
    • Pour ajouter un signet à un incident existant : sélectionnez un incident, puis sélectionnez Ajouter.

  4. Pour afficher le signet dans l’incident,

    1. Accédez à Microsoft Sentinel>Incidents de gestion>.
    2. Sélectionnez l’incident avec votre signet et Afficher les détails complets.
    3. Dans la page de l’incident, dans le volet gauche, sélectionnez signets.

Afficher les données marquées d’un signet dans les journaux

Affichez les requêtes, les résultats ou leur historique avec signet.

  1. Sous l’ongletSignetsde chasse>, sélectionnez le signet.

  2. Dans le volet d’informations, sélectionnez les liens suivants :

    • Afficher la requête source pour afficher la requête source dans le volet Journaux .

    • Affichez les journaux des signets pour voir toutes les métadonnées de signet, notamment qui a effectué la mise à jour, les valeurs mises à jour et l’heure à laquelle la mise à jour s’est produite.

  3. Dans la barre de commandes de l’ongletSignets de chasse>, sélectionnez Journaux des signets pour afficher les données de signet brutes pour tous les signets.

    Capture d’écran de la commande des journaux de signet.

Cette vue affiche tous vos signets avec les métadonnées associées. Vous pouvez utiliser des requêtes Langage de requête Kusto (KQL) pour filtrer jusqu’à la dernière version du signet spécifique que vous recherchez.

Il peut y avoir un délai important (mesuré en minutes) entre le moment où vous créez un signet et celui où il est affiché dans l’onglet Signets .

Supprimer un signet

La suppression du signet supprime le signet de la liste sous l’onglet Signet . La table HuntingBookmark de votre espace de travail Log Analytics continue de contenir des entrées de signet précédentes, mais la dernière entrée modifie la valeur SoftDelete sur true, ce qui facilite le filtrage des anciens signets. La suppression d’un signet ne supprime aucune entité de l’expérience d’investigation associée à d’autres signets ou alertes.

Pour supprimer un signet, procédez comme suit.

  1. Sous l’ongletSignets de chasse>, sélectionnez le ou les signets que vous souhaitez supprimer.

  2. Cliquez avec le bouton droit, puis sélectionnez l’option permettant de supprimer les signets sélectionnés.

Contenu connexe

Dans cet article, vous avez appris à exécuter une enquête de chasse à l’aide de signets dans Microsoft Sentinel. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

  • Last updated on