Utiliser des indicateurs de menace dans les règles d’analyse

Alimentez vos règles d’analyse avec vos indicateurs de menace pour générer automatiquement des alertes basées sur le renseignement sur les menaces que vous avez intégré.

Configuration requise

• Indicateurs de menace. Ces indicateurs peuvent provenir de flux de renseignement sur les menaces, de plateformes de renseignement sur les menaces, d’une importation en bloc à partir d’un fichier plat ou d’une entrée manuelle.
• Sources de données. Les événements de vos connecteurs de données doivent être transmis à votre espace de travail Microsoft Sentinel.
• Règle d’analyse au format TI map.... Il doit utiliser ce format pour pouvoir mapper les indicateurs de menace dont vous disposez avec les événements que vous avez ingérés.

Configurer une règle pour générer des alertes de sécurité

L’exemple suivant montre comment activer et configurer une règle pour générer des alertes de sécurité à l’aide des indicateurs de menace que vous avez importés dans Microsoft Sentinel. Pour cet exemple, utilisez le modèle de règle appelé TI mapper l’entité IP à AzureActivity. Cette règle correspond à n’importe quel indicateur de menace de type d’adresse IP avec tous vos événements d’activité Azure. Lorsqu’une correspondance est trouvée, une alerte est générée avec un incident correspondant pour investigation par votre équipe des opérations de sécurité.

Cette règle d’analyse particulière nécessite le connecteur de données d’activité Azure (pour importer vos événements Azure au niveau de l’abonnement). Il nécessite également un ou les deux connecteurs de données Threat Intelligence (pour importer des indicateurs de menace). Cette règle se déclenche également à partir d’indicateurs importés ou créés manuellement.

1. Dans le Portail Azure, accédez à Microsoft Sentinel.

2. Choisissez l’espace de travail dans lequel vous avez importé les indicateurs de menace à l’aide des connecteurs de données Threat Intelligence et Azure données d’activité à l’aide du connecteur de données d’activité Azure.

3. Dans le menu Microsoft Sentinel, sous la section Configuration, sélectionnez Analytique.

4. Sélectionnez l’onglet Modèles de règle pour afficher la liste des modèles de règles d’analyse disponibles.

5. Recherchez la règle intitulée TI mapper l’entité IP à AzureActivity et vérifiez que vous avez connecté toutes les sources de données requises.

   

6. Sélectionnez la règle TI Mapper l’entité IP à AzureActivity . Sélectionnez ensuite Créer une règle pour ouvrir un Assistant Configuration de règle. Configurez les paramètres dans l’Assistant, puis sélectionnez Suivant : Définir la logique >de règle .

   

7. La partie logique de règle de l’Assistant est préremplies avec les éléments suivants :

   • Requête utilisée dans la règle.
   • Mappages d’entités, qui indiquent Microsoft Sentinel comment reconnaître des entités telles que des comptes, des adresses IP et des URL. Les incidents et les enquêtes peuvent ensuite comprendre comment utiliser les données dans les alertes de sécurité générées par cette règle.
   • Planification d’exécution de cette règle.
   • Nombre de résultats de requête nécessaires avant la génération d’une alerte de sécurité.

   Les paramètres par défaut dans le modèle sont les suivants :

   • Exécuter une fois par heure.
   • Mettre en correspondance tous les indicateurs de menace d’adresse IP de la ThreatIntelligenceIndicator table avec n’importe quelle adresse IP trouvée au cours de la dernière heure d’événements de la AzureActivity table.
   • Générez une alerte de sécurité si les résultats de la requête sont supérieurs à zéro pour indiquer que des correspondances ont été trouvées.
   • Vérifiez que la règle est activée.

   Vous pouvez conserver les paramètres par défaut ou les modifier pour répondre à vos besoins. Vous pouvez définir des paramètres de génération d’incident sous l’onglet Paramètres de l’incident . Pour plus d’informations, consultez Créer des règles d’analyse personnalisées pour détecter les menaces. Lorsque vous avez terminé, sélectionnez l’onglet Réponse automatisée .

8. Configurez toute automatisation que vous souhaitez déclencher lorsqu’une alerte de sécurité est générée à partir de cette règle d’analyse. L’automatisation dans Microsoft Sentinel utilise des combinaisons de règles d’automatisation et de playbooks optimisés par Azure Logic Apps. Pour en savoir plus, consultez Tutoriel : Utiliser des playbooks avec des règles d’automatisation dans Microsoft Sentinel. Lorsque vous avez terminé, sélectionnez Suivant : Révision > pour continuer.

9. Lorsque vous voyez un message indiquant que la validation de la règle a réussi, sélectionnez Créer.

Passer en revue vos règles

Recherchez vos règles activées sous l’onglet Règles actives de la section Analytique de Microsoft Sentinel. Modifiez, activez, désactivez, dupliquez ou supprimez la règle active. La nouvelle règle s’exécute immédiatement lors de l’activation, puis s’exécute selon sa planification définie.

Selon les paramètres par défaut, chaque fois que la règle s’exécute selon sa planification, tous les résultats trouvés génèrent une alerte de sécurité. Pour afficher les alertes de sécurité dans Microsoft Sentinel dans la section Journaux d’Microsoft Sentinel, sous le groupe Microsoft Sentinel, consultez le SecurityAlert tableau .

Dans Microsoft Sentinel, les alertes générées à partir des règles d’analyse génèrent également des incidents de sécurité. Dans le menu Microsoft Sentinel, sous Gestion des menaces, sélectionnez Incidents. Les incidents sont les éléments que vos équipes des opérations de sécurité trient et examinent pour déterminer les actions de réponse appropriées. Pour plus d’informations, consultez Tutoriel : Examiner les incidents avec Microsoft Sentinel.

Contenu connexe

Dans cet article, vous avez appris à utiliser des indicateurs de renseignement sur les menaces pour détecter les menaces. Pour plus d’informations sur le renseignement sur les menaces dans Microsoft Sentinel, consultez les articles suivants :

• Utiliser des indicateurs de menace dans Microsoft Sentinel.
• Connectez Microsoft Sentinel aux flux de renseignement sur les menaces STIX/TAXII.
• Connectez des plateformes de renseignement sur les menaces à Microsoft Sentinel.
• Découvrez les plateformes TIP, les flux TAXII et les enrichissements qui peuvent être facilement intégrés à Microsoft Sentinel.