Créer des requêtes de chasse personnalisées dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Recherchez les menaces de sécurité dans les sources de données de votre organization avec des requêtes de repérage personnalisées. Microsoft Sentinel fournit des requêtes de repérage intégrées pour vous aider à trouver les problèmes dans les données que vous avez sur votre réseau. Mais vous pouvez créer vos propres requêtes personnalisées. Pour plus d’informations sur les requêtes de chasse, consultez Repérage des menaces dans Microsoft Sentinel.

Créer une requête

Dans Microsoft Sentinel, créez une requête de chasse personnalisée à partir de l’ongletRequêtes dechasse>.

  1. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestiondela chasse>. Pour Microsoft Sentinel dans le Portail Azure, sous Gestion des menaces, sélectionnez Chasse.

  2. Sélectionnez l’onglet Requêtes .

  3. Dans la barre de commandes, sélectionnez Nouvelle requête.

  4. Renseignez tous les champs vides.

    1. Créez des mappages d’entités en sélectionnant des types d’entités, des identificateurs et des colonnes.

      Capture d’écran du mappage des types d’entités dans les requêtes de chasse.

    2. Mapper MITRE ATT&techniques CK à vos requêtes de chasse en sélectionnant la tactique, la technique et la sous-technique (le cas échéant).

      Nouvelle requête

  5. Lorsque vous avez terminé de définir votre requête, sélectionnez Créer.

Cloner une requête existante

Clonez une requête personnalisée ou intégrée et modifiez-la si nécessaire.

  1. Sous l’ongletRequêtes dechasse>, sélectionnez la requête de chasse que vous souhaitez cloner.

  2. Sélectionnez les points de suspension (...) dans la ligne de la requête que vous souhaitez modifier, puis sélectionnez Cloner.

  3. Modifiez la requête et d’autres champs le cas échéant.

  4. Sélectionnez Créer.

Modifier une requête personnalisée existante

Seules les requêtes qui proviennent d’une source de contenu personnalisée peuvent être modifiées. Les autres sources de contenu doivent être modifiées à cette source.

  1. Sous l’ongletRequêtes de chasse>, sélectionnez la requête de chasse que vous souhaitez modifier.

  2. Sélectionnez les points de suspension (...) dans la ligne de la requête que vous souhaitez modifier, puis sélectionnez Modifier.

  3. Mettez à jour le champ Requête avec la requête mise à jour. Vous pouvez également modifier le mappage d’entités et les techniques.

  4. Lorsque vous avez terminé, sélectionnez Enregistrer.

Contenu connexe

  • Last updated on