Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
En tant qu’analystes de sécurité et enquêteurs, vous souhaitez être proactif dans la recherche des menaces de sécurité, mais vos différents systèmes et appliances de sécurité génèrent des montagnes de données qui peuvent être difficiles à analyser et à filtrer en événements significatifs. Microsoft Sentinel dispose de puissants outils de recherche et de requête pour rechercher les menaces de sécurité dans les sources de données de votre organization. Pour aider les analystes de sécurité à rechercher de manière proactive de nouvelles anomalies qui ne sont pas détectées par vos applications de sécurité ou même par vos règles d’analyse planifiées, les requêtes de repérage vous guident dans la pose des questions appropriées pour trouver des problèmes dans les données que vous avez déjà sur votre réseau.
Par exemple, une requête prête à l’emploi fournit des données sur les processus les plus rares s’exécutant sur votre infrastructure. Vous ne voudriez pas d’alerte chaque fois qu’ils s’exécutent. Ils pourraient être totalement innocents. Mais vous pouvez jeter un coup d’œil à la requête à l’occasion pour voir s’il y a quelque chose d’inhabituel.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Remarque
Microsoft Sentinel livestreams sont plus longtemps disponibles. Pour automatiser les requêtes et les notifications, utilisez des travaux KQL, des règles d’analyse ou des playbooks. Ces alternatives offrent des résultats de requête persistants et une prise en charge pour différentes plateformes de messagerie.
Chasses dans Microsoft Sentinel (préversion)
Avec les chasses dans Microsoft Sentinel, recherchez les menaces non détectées et les comportements malveillants en créant une hypothèse, en recherchant des données, en validant cette hypothèse et en agissant si nécessaire. Créez des règles analytiques, des informations sur les menaces et des incidents en fonction de vos résultats.
| Fonctionnalités | Description |
|---|---|
| Définir une hypothèse | Pour définir une hypothèse, trouvez l’inspiration à partir de la carte MITRE, des résultats de requête de repérage récents, des solutions de hub de contenu ou générez vos propres chasses personnalisées. |
| Examiner les résultats des requêtes et des signets | Après avoir défini une hypothèse, accédez à l’onglet Requêtes de la page Chasse . Sélectionnez les requêtes liées à votre hypothèse et Nouvelle chasse pour commencer. Exécutez des requêtes liées à la chasse et examinez les résultats à l’aide de l’expérience des journaux. Ajoutez des résultats de signet directement à votre recherche pour annoter vos résultats, extraire les identificateurs d’entité et conserver les requêtes pertinentes. |
| Examiner et prendre des mesures | Examinez encore plus en détail à l’aide des pages d’entité UEBA. Exécutez des playbooks spécifiques à une entité sur des entités avec signet. Utilisez des actions intégrées pour créer des règles analytiques, des indicateurs de menace et des incidents basés sur les résultats. |
| Suivre vos résultats | Enregistrez les résultats de votre chasse. Vérifiez si votre hypothèse est validée ou non. Laissez des notes détaillées dans les commentaires. Les chasses relient automatiquement les nouvelles règles analytiques et les incidents. Suivez l’impact global de votre programme de chasse avec la barre des métriques. |
Pour commencer, consultez Effectuer une chasse proactive de bout en bout aux menaces dans Microsoft Sentinel.
Requêtes de chasse
Dans Microsoft Sentinel dans Defender, sélectionnezChasseà la gestion des> menaces, puis l’onglet Requêtes pour exécuter toutes vos requêtes ou un sous-ensemble sélectionné. L’onglet Requêtes répertorie toutes les requêtes de repérage installées avec des solutions de sécurité à partir du hub de contenu, ainsi que toutes les requêtes supplémentaires que vous avez créées ou modifiées. Chaque requête fournit une description de ce qu’elle recherche et du type de données sur lequel elle s’exécute. Ces requêtes sont regroupées par leurs tactiques MITRE ATT&CK. Les icônes en haut catégorisent le type de menace, comme l’accès initial, la persistance et l’exfiltration. Les techniques MITRE ATT&CK sont présentées dans la colonne Techniques et décrivent le comportement spécifique identifié par la requête de chasse.
Utilisez l’onglet Requêtes pour identifier où commencer la chasse, en examinant le nombre de résultats, les pics ou la modification du nombre de résultats sur une période de 24 heures. Triez et filtrez par favoris, source de données, MITRE ATT&tactique ou technique CK, résultats, delta des résultats ou pourcentage de delta de résultats. Affichez les requêtes qui nécessitent toujours des sources de données connectées et obtenez des recommandations sur la façon d’activer ces requêtes.
Le tableau suivant décrit les actions détaillées disponibles à partir du tableau de bord de chasse :
| Opération | Description |
|---|---|
| Découvrez comment les requêtes s’appliquent à votre environnement | Sélectionnez le bouton Exécuter toutes les requêtes ou sélectionnez un sous-ensemble de requêtes à l’aide des zones case activée à gauche de chaque ligne, puis sélectionnez le bouton Exécuter les requêtes sélectionnées. L’exécution de vos requêtes peut prendre de quelques secondes à plusieurs minutes, selon le nombre de requêtes sélectionnées, l’intervalle de temps et la quantité de données interrogées. |
| Afficher les requêtes qui ont retourné des résultats | Une fois vos requêtes exécutées, affichez les requêtes qui ont retourné des résultats à l’aide du filtre Résultats : - Triez pour voir quelles requêtes ont le plus ou le moins de résultats. - Affichez les requêtes qui ne sont pas du tout actives dans votre environnement en sélectionnant N/A dans le filtre Résultats . - Pointez sur l’icône d’informations (i) en regard du N/A pour voir quelles sources de données sont nécessaires pour activer cette requête. |
| Identifier les pics dans vos données | Identifiez les pics dans les données en triant ou en filtrant le delta des résultats ou le pourcentage delta des résultats. Compare les résultats des dernières 24 heures aux résultats des 24 à 48 heures précédentes, en mettant en évidence les différences importantes ou les différences relatives de volume. |
| Afficher les requêtes mappées à la tactique MITRE ATT&CK | La barre de tactique MITRE ATT&CK, en haut du tableau, répertorie le nombre de requêtes mappées à chaque tactique MITRE ATT&CK. La barre de tactique est mise à jour dynamiquement en fonction de l’ensemble actuel de filtres appliqués. Vous permet de voir quelles tactiques MITRE ATT&CK s’affichent lorsque vous filtrez selon un nombre de résultats donné, un delta de résultat élevé, des résultats N/A ou tout autre ensemble de filtres. |
| Afficher les requêtes mappées aux techniques MITRE ATT&CK | Les requêtes peuvent également être mappées aux techniques MITRE ATT&CK. Vous pouvez filtrer ou trier selon les techniques MITRE ATT&CK à l’aide du filtre Technique . En ouvrant une requête, vous pouvez sélectionner la technique pour voir la description MITRE ATT&CK de la technique. |
| Enregistrer une requête dans vos favoris | Les requêtes enregistrées dans vos favoris s’exécutent automatiquement chaque fois que la page Chasse est accessible. Vous pouvez créer votre propre requête de chasse ou cloner et personnaliser un modèle de requête de chasse existant. |
| Exécuter des requêtes | Sélectionnez Exécuter la requête dans la page détails de la requête de chasse pour exécuter la requête directement à partir de la page de chasse. Le nombre de correspondances est affiché dans la table, dans la colonne Résultats . Passez en revue la liste des requêtes de chasse et leurs correspondances. |
| Examiner une requête sous-jacente | Effectuez un examen rapide de la requête sous-jacente dans le volet d’informations de la requête. Vous pouvez afficher les résultats en cliquant sur le lien Afficher les résultats de la requête (sous la fenêtre de requête) ou sur le bouton Afficher les résultats (en bas du volet). La requête ouvre la page Journaux (Log Analytics) et, sous la requête, vous pouvez examiner les correspondances de la requête. |
Utilisez des requêtes avant, pendant et après une compromission pour effectuer les actions suivantes :
Avant qu’un incident ne se produise : l’attente des détections ne suffit pas. Prenez des mesures proactives en exécutant toutes les requêtes de repérage des menaces liées aux données que vous ingérez dans votre espace de travail au moins une fois par semaine.
Les résultats de votre chasse proactive fournissent un aperçu précoce des événements qui peuvent confirmer qu’une compromission est en cours, ou au moins montrer des zones plus faibles de votre environnement qui sont à risque et nécessitent une attention particulière.
Pendant une compromission : surveillez activement les événements pour vous aider à déterminer l’action suivante d’un acteur de menace, envoyer des notifications aux personnes appropriées et prendre des mesures pour arrêter une attaque en cours.
- Utilisez des travaux KQL pour surveiller le comportement des attaquants et conserver les résultats des requêtes dans le lac de données Microsoft Sentinel.
- Analysez les résultats persistants avec des outils tels que Security Copilot, les notebooks Jupyter, lachasse avancée et les requêtes KQL.
- Envoyer des notifications à Teams, à des e-mails et à d’autres plateformes de messagerie.
Après une compromission : après une compromission ou un incident, veillez à améliorer votre couverture et vos informations pour éviter des incidents similaires à l’avenir.
Modifiez vos requêtes existantes ou créez-en de nouvelles pour faciliter la détection précoce, en fonction des insights obtenus à la suite de votre compromission ou de votre incident.
Si vous avez découvert ou créé une requête de repérage qui fournit des informations de grande valeur sur les attaques possibles, créez des règles de détection personnalisées basées sur cette requête et exposez ces informations sous forme d’alertes à vos répondeurs aux incidents de sécurité.
Affichez les résultats de la requête, puis sélectionnez Nouvelle règle> d’alerteCréer Microsoft Sentinel alerte. Utilisez l’Assistant Règle d’analyse pour créer une règle basée sur votre requête. Pour plus d’informations, consultez Créer des règles d’analyse personnalisées pour détecter les menaces.
Exporter les résultats et les lier à des cas spécifiques pour améliorer la collaboration SOC.
Vous pouvez également créer des requêtes de chasse sur les données stockées dans Azure Data Explorer. Pour plus d’informations, consultez les détails de la construction de requêtes inter-ressources dans la documentation Azure Monitor.
Pour trouver d’autres requêtes et sources de données, accédez au hub de contenu dans Microsoft Sentinel ou reportez-vous aux ressources de la communauté telles que Microsoft Sentinel référentiel GitHub.
Requêtes de chasse prêtes à l’emploi
De nombreuses solutions de sécurité incluent des requêtes de repérage prêtes à l’emploi. Après avoir installé une solution qui inclut des requêtes de repérage à partir du hub de contenu, les requêtes prêtes à l’emploi pour cette solution s’affichent sous l’onglet Requêtes de chasse. Les requêtes s’exécutent sur des données stockées dans des tables de journaux, par exemple pour la création de processus, les événements DNS ou d’autres types d’événements.
De nombreuses requêtes de repérage disponibles sont développées en continu par les chercheurs en sécurité Microsoft. Ils ajoutent de nouvelles requêtes aux solutions de sécurité et ajustent les requêtes existantes pour vous fournir un point d’entrée pour rechercher de nouvelles détections et attaques.
Requêtes de chasse personnalisées
Créez ou modifiez une requête et enregistrez-la en tant que votre propre requête ou partagez-la avec des utilisateurs qui se trouvent dans le même locataire. Dans Microsoft Sentinel, créez une requête de chasse personnalisée à partir de l’ongletRequêtes dechasse>.
Pour plus d’informations, consultez Créer des requêtes de chasse personnalisées dans Microsoft Sentinel.
Signets pour effectuer le suivi des données
La chasse aux menaces nécessite généralement d’examiner des montagnes de données de journal à la recherche de preuves de comportement malveillant. Au cours de ce processus, les enquêteurs trouvent des événements qu’ils veulent mémoriser, revoir et analyser dans le cadre de la validation des hypothèses potentielles et de la compréhension de l’histoire complète d’un compromis.
Pendant le processus de chasse et d’investigation, vous pouvez rencontrer des résultats de requête qui semblent inhabituels ou suspects. Ajoutez un signet à ces éléments pour y faire référence à l’avenir, par exemple lors de la création ou de l’enrichissement d’un incident à des fins d’investigation. Les événements tels que les causes racines potentielles, les indicateurs de compromission ou d’autres événements notables doivent être déclenchés sous forme de signet. Si un événement clé que vous avez marqué d’un signet est suffisamment grave pour justifier une enquête, faites-le remonter à un incident.
Dans vos résultats, cochez les cases pour toutes les lignes que vous souhaitez conserver, puis sélectionnez Ajouter un signet. Cela crée pour chaque ligne marquée un signet qui contient les résultats de ligne et la requête qui a créé les résultats. Vous pouvez ajouter vos propres balises et notes à chaque signet.
- Comme avec les règles d’analytique planifiée, vous pouvez enrichir vos signets avec des mappages d’entités pour extraire plusieurs types d’entités et identificateurs, et mitre ATT&mappages CK pour associer des tactiques et techniques particulières.
- Par défaut, les signets utilisent les mêmes mappages techniques d’entité et MITRE ATT&CK que la requête de chasse qui a produit les résultats marqués de signets.
Affichez tous les résultats mis en signet en cliquant sur l’onglet Signets dans la page principale chasse . Ajoutez des balises aux signets pour les classifier pour le filtrage. Par exemple, si vous examinez une campagne d’attaque, vous pouvez créer une balise pour la campagne, appliquer la balise à tous les signets pertinents, puis filtrer tous les signets en fonction de la campagne.
Examinez la recherche d’un signet unique en sélectionnant le signet, puis en cliquant sur Examiner dans le volet d’informations pour ouvrir l’expérience d’investigation. Affichez, examinez et communiquez visuellement vos résultats à l’aide d’un diagramme graphique d’entité interactif et d’chronologie. Vous pouvez également sélectionner directement une entité répertoriée pour afficher la page d’entité correspondante de cette entité.
Vous pouvez également créer un incident à partir d’un ou plusieurs signets, ou ajouter un ou plusieurs signets à un incident existant. Cochez une case à gauche des signets que vous souhaitez utiliser, puis sélectionnez Actions> d’incidentCréer un incident ou Ajouter à un incident existant. Triez et examinez l’incident comme n’importe quel autre.
Affichez vos données avec signet directement dans la table HuntingBookmark de votre espace de travail Log Analytics. Par exemple :
L’affichage des signets de la table vous permet de filtrer, de résumer et de joindre des données avec signet avec d’autres sources de données, ce qui facilite la recherche de preuves corroborantes.
Pour commencer à utiliser des signets, consultez Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel.
Notebooks pour alimenter les investigations
Lorsque votre repérage et vos investigations deviennent plus complexes, utilisez des notebooks Microsoft Sentinel pour améliorer votre activité avec le Machine Learning, les visualisations et l’analyse des données.
Les notebooks fournissent une sorte de bac à sable virtuel, avec son propre noyau, où vous pouvez effectuer une investigation complète. Votre notebook peut inclure les données brutes, le code que vous exécutez sur ces données, les résultats et leurs visualisations. Enregistrez vos blocs-notes afin de pouvoir les partager avec d’autres personnes afin de les réutiliser dans votre organization.
Les blocs-notes peuvent être utiles lorsque votre repérage ou investigation devient trop volumineux pour être facilement mémorisé, afficher des détails ou lorsque vous devez enregistrer des requêtes et des résultats. Pour vous aider à créer et à partager des notebooks, Microsoft Sentinel fournit des notebooks Jupyter, un environnement open source, interactif et de manipulation de données, intégré directement dans la page notebooks Microsoft Sentinel.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Utiliser Jupyter Notebook pour rechercher les menaces de sécurité
- Documentation du projet Jupyter
- Documentation d’introduction à Jupyter.
- Le Livre Jupyter Infosec
- Tutoriels Sur Python réels
Le tableau suivant décrit certaines méthodes d’utilisation des notebooks Jupyter pour faciliter vos processus dans Microsoft Sentinel :
| Méthode | Description |
|---|---|
| Persistance des données, répétabilité et retour en arrière | Si vous utilisez un grand nombre de requêtes et de jeux de résultats, il est probable que vous ayez des impasses. Vous devez décider des requêtes et des résultats à conserver, et comment accumuler les résultats utiles dans un seul rapport. Utilisez des notebooks Jupyter pour enregistrer des requêtes et des données au fur et à mesure, utilisez des variables pour réexécuter des requêtes avec des valeurs ou des dates différentes, ou enregistrez vos requêtes pour les réexécuter sur des investigations ultérieures. |
| Scripts et programmation | Utilisez des notebooks Jupyter pour ajouter de la programmation à vos requêtes, notamment : - Les langages déclaratifs comme Langage de requête Kusto (KQL) ou SQL, pour encoder votre logique dans une instruction unique, éventuellement complexe. - Langages de programmation procédural pour exécuter la logique en une série d’étapes. Fractionnez votre logique en étapes pour vous aider à voir et à déboguer les résultats intermédiaires, à ajouter des fonctionnalités qui ne sont peut-être pas disponibles dans le langage de requête et à réutiliser les résultats partiels dans les étapes de traitement ultérieures. |
| Liens vers des données externes | Bien que les tables Microsoft Sentinel disposent de la plupart des données de télémétrie et d’événements, les notebooks Jupyter peuvent être liés à toutes les données accessibles sur votre réseau ou à partir d’un fichier. L’utilisation de Jupyter Notebooks vous permet d’inclure des données telles que : - Données dans des services externes dont vous n’êtes pas propriétaire, telles que des données de géolocalisation ou des sources de renseignement sur les menaces - Données sensibles stockées uniquement dans votre organization, telles que les bases de données de ressources humaines ou les listes de ressources à valeur élevée - Données que vous n’avez pas encore migrées vers le cloud. |
| Outils spécialisés de traitement des données, de machine learning et de visualisation | Jupyter Notebooks fournit davantage de visualisations, de bibliothèques machine learning et de fonctionnalités de traitement et de transformation des données. Par exemple, utilisez des notebooks Jupyter avec les fonctionnalités Python suivantes : - pandas pour le traitement, le nettoyage et l’ingénierie des données - Matplotlib, HoloViews et Plotly pour la visualisation - NumPy et SciPy pour le traitement numérique et scientifique avancé - scikit-learn pour le Machine Learning - TensorFlow, PyTorch et Keras pour le deep learning Conseil : Jupyter Notebooks prend en charge plusieurs noyaux de langage. Utilisez des commandes magiques pour combiner des langages dans le même notebook, en autorisant l’exécution de cellules individuelles à l’aide d’un autre langage. Par exemple, vous pouvez récupérer des données à l’aide d’une cellule de script PowerShell, traiter les données en Python et utiliser JavaScript pour afficher une visualisation. |
Outils de sécurité MSTIC, Jupyter et Python
Le Microsoft Threat Intelligence Center (MSTIC) est une équipe d’analystes et d’ingénieurs de sécurité Microsoft qui créent des détections de sécurité pour plusieurs plateformes Microsoft et travaillent sur l’identification et l’investigation des menaces.
MSTIC a créé MSTICPy, une bibliothèque pour les enquêtes de sécurité des informations et la chasse dans les notebooks Jupyter. MSTICPy fournit des fonctionnalités réutilisables qui visent à accélérer la création de notebooks et à faciliter la lecture des blocs-notes par les utilisateurs dans Microsoft Sentinel.
Par exemple, MSTICPy peut :
- Interroger les données du journal à partir de plusieurs sources.
- Enrichissez les données avec des informations sur les menaces, des géolocalisations et des données de ressources Azure.
- Extrayez les indicateurs d’activité (IoA) des journaux et décompressez les données encodées.
- Effectuez des analyses sophistiquées telles que la détection de session anormale et la décomposition des séries chronologiques.
- Visualisez les données à l’aide de chronologies interactives, d’arborescences de processus et de graphiques morphes multidimensionnels.
MSTICPy inclut également des outils de notebook qui permettent de gagner du temps, tels que des widgets qui définissent des limites de temps de requête, sélectionnent et affichent des éléments dans des listes et configurent l’environnement de notebook.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Documentation MSTICPy
- Notebooks Jupyter avec fonctionnalités de chasse Microsoft Sentinel
- Configurations avancées pour les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
Opérateurs et fonctions utiles
Les requêtes de chasse sont intégrées à Langage de requête Kusto (KQL), un langage de requête puissant avec le langage IntelliSense qui vous donne la puissance et la flexibilité dont vous avez besoin pour passer au niveau supérieur.
Il s’agit du même langage que celui utilisé par les requêtes dans vos règles d’analyse et ailleurs dans Microsoft Sentinel. Pour plus d’informations, consultez Informations de référence sur le langage de requête.
Les opérateurs suivants sont particulièrement utiles dans les requêtes de chasse Microsoft Sentinel :
where : filtre une table sur le sous-ensemble de lignes qui répondent à un prédicat.
summarize : produit une table qui agrège le contenu de la table d’entrée.
join : fusionnez les lignes de deux tables pour former une nouvelle table en faisant correspondre les valeurs des colonnes spécifiées de chaque table.
count : retourne le nombre d’enregistrements dans le jeu d’enregistrements d’entrée.
top : retourne les N premiers enregistrements triés par les colonnes spécifiées.
limit : retourne jusqu’au nombre de lignes spécifié.
project : sélectionnez les colonnes à inclure, renommer ou supprimer, puis insérez de nouvelles colonnes calculées.
extend : créez des colonnes calculées et ajoutez-les au jeu de résultats.
makeset : retourne un tableau dynamique (JSON) de l’ensemble de valeurs distinctes prises par Expr dans le groupe
find : rechercher les lignes qui correspondent à un prédicat dans un ensemble de tables.
adx() : cette fonction effectue des requêtes inter-ressources de sources de données Azure Data Explorer à partir de l’expérience de chasse Microsoft Sentinel et de Log Analytics. Pour plus d’informations, consultez Azure Data Explorer de requête inter-ressources à l’aide de Azure Monitor.
Articles connexes
- Notebooks Jupyter avec fonctionnalités de chasse Microsoft Sentinel
- Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel
- Découvrez un exemple d’utilisation de règles d’analyse personnalisées lors de la surveillance de Zoom avec un connecteur personnalisé.