Utiliser des règles d’analyse de détection d’anomalies dans Microsoft Sentinel

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Importante

Les détections personnalisées constituent désormais le meilleur moyen de créer de nouvelles règles dans Microsoft Sentinel Microsoft Defender XDR SIEM. Les détections personnalisées vous permettent de réduire les coûts d’ingestion, d’obtenir des détections en temps réel illimitées et de bénéficier d’une intégration transparente avec Defender XDR données, fonctions et actions de correction avec le mappage automatique d’entités. Pour plus d’informations, consultez ce blog.

la fonctionnalité d’anomalies personnalisables de Microsoft Sentinel fournit des modèles d’anomalie intégrés pour une valeur immédiate prête à l’emploi. Ces modèles d’anomalie ont été développés pour être robustes en utilisant des milliers de sources de données et des millions d’événements, mais cette fonctionnalité vous permet également de modifier facilement les seuils et les paramètres des anomalies au sein de l’interface utilisateur. Les règles d’anomalie sont activées ou activées par défaut. Elles génèrent donc des anomalies prêtes à l’emploi. Vous pouvez rechercher et interroger ces anomalies dans la table Anomalies de la section Journaux .

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Afficher les modèles de règle d’anomalie personnalisables

Vous pouvez maintenant trouver des règles d’anomalie affichées dans une grille sous l’onglet Anomalies de la page Analytique .

  1. Pour les utilisateurs du portail Microsoft Defender, sélectionnez Microsoft Sentinel > Configuration > Analytics dans le menu de navigation Microsoft Defender.

    Pour les utilisateurs de Microsoft Sentinel dans le Portail Azure, sélectionnez Analytique dans le menu de navigation Microsoft Sentinel.

  2. Dans la page Analytique , sélectionnez l’onglet Anomalies .

  3. Pour filtrer la liste selon un ou plusieurs des critères suivants, sélectionnez Ajouter un filtre et choisissez en conséquence.

    • État : indique si la règle est activée ou désactivée.

    • Tactiques : les tactiques d’infrastructure MITRE ATT&CK couvertes par l’anomalie.

    • Techniques : techniques de l’infrastructure MITRE ATT&CK couvertes par l’anomalie.

    • Sources de données : type de journaux qui doivent être ingérés et analysés pour que l’anomalie soit définie.

  4. Sélectionnez une règle et affichez les informations suivantes dans le volet d’informations :

    • Description explique le fonctionnement de l’anomalie et les données dont elle a besoin.

    • Les tactiques et techniques sont les tactiques et techniques du framework MITRE ATT&CK couvertes par l’anomalie.

    • Les paramètres sont les attributs configurables pour l’anomalie.

    • Threshold est une valeur configurable qui indique le degré auquel un événement doit être inhabituel avant la création d’une anomalie.

    • La fréquence de règle est le temps entre les travaux de traitement des journaux qui recherchent les anomalies.

    • La règle status vous indique si la règle s’exécute en mode Production ou Version d’évaluation (intermédiaire) lorsqu’elle est activée.

    • La version d’anomalie affiche la version du modèle utilisée par une règle. Si vous souhaitez modifier la version utilisée par une règle déjà active, vous devez recréer la règle.

Les règles fournies avec Microsoft Sentinel prêtes à l’emploi ne peuvent pas être modifiées ou supprimées. Pour personnaliser une règle, vous devez d’abord créer un doublon de la règle, puis personnaliser le doublon. Consultez les instructions complètes.

Remarque

Pourquoi existe-t-il un bouton Modifier si la règle ne peut pas être modifiée ?

Bien que vous ne puissiez pas modifier la configuration d’une règle d’anomalie prête à l’emploi, vous pouvez effectuer deux opérations :

  1. Vous pouvez basculer la règle status de la règle entre Production et Version d’évaluation.

  2. Vous pouvez envoyer des commentaires à Microsoft sur votre expérience avec des anomalies personnalisables.

Évaluer la qualité des anomalies

Vous pouvez voir les performances d’une règle d’anomalie en examinant un échantillon des anomalies créées par une règle au cours de la dernière période de 24 heures.

  1. Pour les utilisateurs de Microsoft Sentinel dans le Portail Azure, sélectionnez Analytique dans le menu de navigation Microsoft Sentinel.

    Pour les utilisateurs du portail Microsoft Defender, sélectionnez Microsoft Sentinel > Configuration > Analytics dans le menu de navigation Microsoft Defender.

  2. Dans la page Analytique , sélectionnez l’onglet Anomalies .

  3. Sélectionnez la règle que vous souhaitez évaluer, puis copiez son ID en haut du volet d’informations à droite.

  4. Dans le menu de navigation Microsoft Sentinel, sélectionnez Journaux.

  5. Si une galerie de requêtes s’affiche en haut, fermez-la.

  6. Sélectionnez l’onglet Tables dans le volet gauche de la page Journaux .

  7. Définissez le filtre Plage de temps sur 24 dernières heures.

  8. Copiez la requête Kusto ci-dessous et collez-la dans la fenêtre de requête (où elle indique « Tapez votre requête ici ou... ») :

    Anomalies 
| where RuleId contains "<RuleId>"

    Collez l’ID de règle que vous avez copié ci-dessus à la place de <RuleId> entre les guillemets.

  9. Sélectionnez Exécuter.

Lorsque vous avez des résultats, vous pouvez commencer à évaluer la qualité des anomalies. Si vous n’avez pas de résultats, essayez d’augmenter l’intervalle de temps.

Développez les résultats de chaque anomalie, puis développez le champ AnomalyReasons . Cela vous indique pourquoi l’anomalie s’est déclenchée.

Le « caractère raisonnable » ou l'« utilité » d’une anomalie peut dépendre des conditions de votre environnement, mais une raison courante pour laquelle une règle d’anomalie produit trop d’anomalies est que le seuil est trop bas.

Régler les règles d’anomalie

Bien que les règles d’anomalie soient conçues pour une efficacité maximale prête à l’emploi, chaque situation est unique et les règles d’anomalie doivent parfois être ajustées.

Étant donné que vous ne pouvez pas modifier une règle active d’origine, vous devez d’abord dupliquer une règle d’anomalie active, puis personnaliser la copie.

La règle d’anomalie d’origine continue de s’exécuter jusqu’à ce que vous la désactiviez ou la supprimiez.

C’est par conception, pour vous donner la possibilité de comparer les résultats générés par la configuration d’origine et la nouvelle. Les règles dupliquées sont désactivées par défaut. Vous ne pouvez créer qu’une seule copie personnalisée d’une règle d’anomalie donnée. Les tentatives de création d’une deuxième copie échouent.

  1. Pour modifier la configuration d’une règle d’anomalie, sélectionnez la règle dans la liste sous l’onglet Anomalies .

  2. Cliquez avec le bouton droit n’importe où sur la ligne de la règle, ou cliquez avec le bouton gauche sur les points de suspension (...) à la fin de la ligne, puis sélectionnez Dupliquer dans le menu contextuel.

    Une nouvelle règle s’affiche dans la liste, avec les caractéristiques suivantes :

    • Le nom de la règle sera le même que l’original, avec « - Customized » ajouté à la fin.
    • Le status de la règle sera Désactivé.
    • Le badge FLGT s’affiche au début de la ligne pour indiquer que la règle est en mode Version d’évaluation.

  3. Pour personnaliser cette règle, sélectionnez la règle et sélectionnez Modifier dans le volet d’informations ou dans le menu contextuel de la règle.

  4. La règle s’ouvre dans l’Assistant Règle d’analyse. Ici, vous pouvez modifier les paramètres de la règle et son seuil. Les paramètres qui peuvent être modifiés varient selon le type d’anomalie et l’algorithme.

    Vous pouvez afficher un aperçu des résultats de vos modifications dans le volet Aperçu des résultats. Sélectionnez un ID d’anomalie dans l’aperçu des résultats pour voir pourquoi le modèle ML identifie cette anomalie.

  5. Activez la règle personnalisée pour générer des résultats. Certaines de vos modifications peuvent nécessiter l’exécution de la règle à nouveau. Vous devez donc attendre qu’elle se termine et revenir à case activée les résultats sur la page des journaux. La règle d’anomalie personnalisée s’exécute en mode Test par défaut. La règle d’origine continue à s’exécuter en mode Production par défaut.

  6. Pour comparer les résultats, revenez à la table Anomalies dans Journaux pour évaluer la nouvelle règle comme précédemment, utilisez uniquement la requête suivante pour rechercher les anomalies générées par la règle d’origine ainsi que par la règle dupliquée.

    Anomalies 
| where AnomalyTemplateId contains "<RuleId>"

    Collez l’ID de règle que vous avez copié à partir de la règle d’origine à la place de <RuleId> entre les guillemets. La valeur de AnomalyTemplateId dans les règles d’origine et en double est identique à la valeur de dans la règle d’origine RuleId .

Si vous êtes satisfait des résultats de la règle personnalisée, vous pouvez revenir à l’onglet Anomalies , sélectionner la règle personnalisée, sélectionner le bouton Modifier et, sous l’onglet Général , passer de Version d’évaluation à Production. La règle d’origine est automatiquement modifiée en version d’évaluation , car vous ne pouvez pas avoir deux versions de la même règle en production en même temps.

Étapes suivantes

Dans ce document, vous avez appris à utiliser des règles d’analyse de détection des anomalies personnalisables dans Microsoft Sentinel.

  • Last updated on