Utiliser Microsoft Sentinel renseignement sur les menaces

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Accélérez la détection et la correction des menaces grâce à la création et à la gestion simplifiées du renseignement sur les menaces. Cet article explique comment tirer le meilleur parti de l’intégration du renseignement sur les menaces dans l’interface de gestion, que vous y accédiez à partir de Microsoft Sentinel dans le portail Defender ou dans le Portail Azure.

  • Créer des objets de renseignement sur les menaces à l’aide de l’expression d’informations sur les menaces structurées (STIX)
  • Gérer le renseignement sur les menaces en affichant, en organisant et en visualisant

Importante

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.

Configuration requise

Accéder à l’interface de gestion

Référencez l’un des onglets suivants, selon l’emplacement où vous souhaitez utiliser le renseignement sur les menaces. Même si l’interface de gestion est accessible différemment selon le portail que vous utilisez, les tâches de création et de gestion ont les mêmes étapes une fois que vous y êtes.

Dans le portail Defender, accédez à Gestion intel du renseignement sur les menaces>.

Capture d’écran montrant l’élément de menu de gestion Intel dans le portail Defender.

Créer des informations sur les menaces

Utilisez l’interface de gestion pour créer des objets STIX et effectuer d’autres tâches courantes de renseignement sur les menaces, telles que l’étiquetage des indicateurs et l’établissement de connexions entre les objets.

  • Définissez des relations lorsque vous créez des objets STIX.
  • Créez rapidement plusieurs objets à l’aide de la fonctionnalité dupliquée pour copier les métadonnées d’un objet TI nouveau ou existant.

Pour plus d’informations sur les objets STIX pris en charge, consultez Renseignement sur les menaces dans Microsoft Sentinel.

Créer un objet STIX

  1. Sélectionnez Ajouter un nouvel>objet TI.

    Capture d’écran montrant l’ajout d’un nouvel indicateur de menace.

  2. Choisissez le Type d’objet, puis remplissez le formulaire dans la page Nouvel objet TI . Les champs obligatoires sont marqués d’un astérisque rouge (*).

  3. Envisagez de désigner une valeur de sensibilité ou une évaluation TLP ( Traffic Light Protocol ) à l’objet TI. Pour plus d’informations sur ce que représentent les valeurs, consultez Organiser le renseignement sur les menaces.

  4. Si vous savez comment cet objet est lié à un autre objet threat intelligence, indiquez cette connexion avec le type Relation et la référence Cible.

  5. Sélectionnez Ajouter pour un objet individuel ou Ajouter et dupliquer si vous souhaitez créer d’autres éléments avec les mêmes métadonnées. L’image suivante montre la section commune des métadonnées de chaque objet STIX qui est dupliquée.

Capture d’écran montrant la création d’un nouvel objet STIX et les métadonnées communes disponibles pour tous les objets.

Gérer le renseignement sur les menaces

Optimisez l’ti à partir de vos sources avec des règles d’ingestion. Organisez le ti existant avec le générateur de relations. Utilisez l’interface de gestion pour rechercher, filtrer et trier, puis ajouter des balises à votre renseignement sur les menaces.

Optimiser les flux de renseignement sur les menaces avec des règles d’ingestion

Réduisez le bruit de vos flux TI, étendez la validité des indicateurs de valeur élevée et ajoutez des balises significatives aux objets entrants. Ce ne sont là que quelques-uns des cas d’usage des règles d’ingestion. Voici les étapes permettant d’étendre la date de validité sur les indicateurs de valeur élevée.

  1. Sélectionnez Règles d’ingestion pour ouvrir une nouvelle page afin d’afficher les règles existantes et de construire une nouvelle logique de règle.

    Capture d’écran montrant le menu de gestion du renseignement sur les menaces pointant sur les règles d’ingestion.

  2. Entrez un nom descriptif pour votre règle. La page règles d’ingestion contient suffisamment de règles pour le nom, mais il s’agit de la seule description de texte disponible pour différencier vos règles sans les modifier.

  3. Sélectionnez le Type d’objet. Ce cas d’usage est basé sur l’extension de la Valid from propriété, qui n’est disponible que pour les Indicator types d’objets.

  4. Ajoutez une condition pour SourceEquals et sélectionnez votre valeur Sourceélevée.

  5. Ajoutez une condition pour ConfidenceGreater than or equal et entrez un Confidence score.

  6. Sélectionnez l’action. Étant donné que nous voulons modifier cet indicateur, sélectionnez Edit.

  7. Sélectionnez l’action Ajouter pour Valid until, Extend byet sélectionnez un intervalle de temps en jours.

  8. Envisagez d’ajouter une balise pour indiquer la valeur élevée placée sur ces indicateurs, comme Extended. La date de modification n’est pas mise à jour par les règles d’ingestion.

  9. Sélectionnez l’ordre dans lequel vous souhaitez que la règle s’exécute. Les règles s’exécutent du numéro d’ordre le plus bas au plus élevé. Chaque règle évalue chaque objet ingéré.

  10. Si la règle est prête à être activée, activez l’option État .

  11. Sélectionnez Ajouter pour créer la règle d’ingestion.

Capture d’écran montrant la création d’une nouvelle règle d’ingestion pour étendre la validité jusqu’à la date.

Pour plus d’informations, consultez Règles d’ingestion du renseignement sur les menaces.

Organiser le renseignement sur les menaces avec le générateur de relations

Connectez des objets threat intelligence au générateur de relations. Il existe un maximum de 20 relations dans le générateur à la fois, mais d’autres connexions peuvent être créées via plusieurs itérations et en ajoutant des références cibles de relation pour les nouveaux objets.

  1. Sélectionnez Ajouter une nouvelle>relation TI.

  2. Commencez avec un objet TI existant comme un acteur de menace ou un modèle d’attaque où l’objet unique se connecte à un ou plusieurs objets existants, tels que des indicateurs.

  3. Ajoutez le type de relation conformément aux meilleures pratiques décrites dans le tableau suivant et dans la table de synthèse de la relation de référence STIX 2.1 :

    Type de relation Description
    Doublon de
    Dérivé de
    Lié à    		 Relations courantes définies pour tout objet de domaine STIX (SDO)
    Pour plus d’informations, consultez informations de référence sur STIX 2.1 sur les relations courantes.
    Cibles Attack pattern ou Threat actor Cibles Identity
    Utilise Threat actor Utilise Attack pattern
    Attribué à Threat actor Attribué à Identity
    Indique Indicator Indique Attack pattern ou Threat actor
    Emprunts d’identité Threat actor Emprunts d’identité Identity

  4. Utilisez l’image suivante comme exemple d’utilisation du générateur de relations. Cet exemple montre comment se connecter entre un acteur de menace et un modèle d’attaque, un indicateur et une identité à l’aide du générateur de relations dans le portail Defender.

    Capture d’écran montrant le générateur de relations.

  5. Terminez la relation en configurant les propriétés communes .

Afficher vos informations sur les menaces dans l’interface de gestion

Utilisez l’interface de gestion pour trier, filtrer et rechercher vos informations sur les menaces à partir de la source à partir de laquelle elles ont été ingérées sans écrire de requête Log Analytics.

  1. À partir de l’interface de gestion, développez le menu Que souhaitez-vous rechercher ?

  2. Sélectionnez un type d’objet STIX ou conservez la valeur par défaut Tous les types d’objets.

  3. Sélectionnez des conditions à l’aide d’opérateurs logiques.

  4. Sélectionnez l’objet sur lequel vous souhaitez afficher plus d’informations.

Dans l’image suivante, plusieurs sources ont été utilisées pour la recherche en les plaçant dans un OR groupe, tandis que plusieurs conditions ont été regroupées avec l’opérateur AND .

Capture d’écran montrant un opérateur OR combiné à plusieurs conditions AND pour rechercher le renseignement sur les menaces.

Microsoft Sentinel affiche uniquement la version la plus récente de votre intel des menaces dans cette vue. Pour plus d’informations sur la façon dont les objets sont mis à jour, consultez Cycle de vie du renseignement sur les menaces.

Les indicateurs d’adresse IP et de nom de domaine sont enrichis avec des données et WhoIs supplémentaires GeoLocation afin que vous puissiez fournir plus de contexte pour toutes les investigations où l’indicateur est trouvé.

Voici un exemple.

Capture d’écran montrant la page Threat Intelligence avec un indicateur montrant les données GeoLocation et WhoIs.

Importante

GeoLocation et WhoIs l’enrichissement est actuellement en préversion. Les conditions supplémentaires de la préversion Azure incluent des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure qui sont en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

Étiqueter et modifier le renseignement sur les menaces

L’étiquetage du renseignement sur les menaces est un moyen rapide de regrouper des objets afin de faciliter leur recherche. En règle générale, vous pouvez appliquer des balises liées à un incident particulier. Toutefois, si un objet représente des menaces provenant d’un acteur connu particulier ou d’une campagne d’attaque connue, envisagez de créer une relation au lieu d’une balise.

  1. Utilisez l’interface de gestion pour trier, filtrer et rechercher votre renseignement sur les menaces.
  2. Une fois que vous avez trouvé les objets que vous souhaitez utiliser, sélectionnez-les plusieurs fois en choisissant un ou plusieurs objets du même type.
  3. Sélectionnez Ajouter des balises et étiquetez-les toutes à la fois avec une ou plusieurs balises.
  4. Étant donné que le balisage est de forme libre, nous vous recommandons de créer des conventions d’affectation de noms standard pour les étiquettes dans votre organization.

Modifiez le renseignement sur les menaces un objet à la fois, qu’il soit créé directement dans Microsoft Sentinel ou à partir de sources partenaires, telles que les serveurs TIP et TAXII. Pour les informations sur les menaces créées dans l’interface de gestion, tous les champs sont modifiables. Pour les informations sur les menaces ingérées à partir de sources partenaires, seuls les champs spécifiques sont modifiables, notamment les étiquettes, la date d’expiration, la confiance et la révocation. Dans les deux cas, seule la dernière version de l’objet apparaît dans l’interface de gestion.

Pour plus d’informations sur la mise à jour des informations sur les menaces, consultez Afficher votre renseignement sur les menaces.

Rechercher et afficher le renseignement sur les menaces avec des requêtes

Cette procédure décrit comment afficher vos informations sur les menaces avec des requêtes, quel que soit le flux source ou la méthode que vous avez utilisé pour les ingérer.

Les indicateurs de menace sont stockés dans la table Microsoft SentinelThreatIntelligenceIndicator. Ce tableau est la base des requêtes de renseignement sur les menaces effectuées par d’autres fonctionnalités Microsoft Sentinel, telles que Analytics, Hunting et Workbooks.

  1. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Investigation & réponse>Chasse>avancée chasse.

  2. La ThreatIntelligenceIndicator table se trouve sous le groupe Microsoft Sentinel.

Capture d’écran de l’option Ajouter une watchlist sur la page watchlist.

Pour plus d’informations, consultez Afficher votre renseignement sur les menaces.

Visualiser votre renseignement sur les menaces avec des classeurs

Utilisez un classeur Microsoft Sentinel spécialement conçu pour visualiser les informations clés sur votre renseignement sur les menaces dans Microsoft Sentinel et personnaliser le classeur en fonction des besoins de votre entreprise.

Voici comment trouver le classeur de renseignement sur les menaces fourni dans Microsoft Sentinel, et un exemple de modification du classeur pour le personnaliser.

  1. Du Portail Azure, allez à Microsoft Sentinel.

  2. Choisissez l’espace de travail dans lequel vous avez importé les indicateurs de menace à l’aide de l’un ou l’autre connecteur de données de renseignement sur les menaces.

  3. Dans la section Gestion des menaces du menu Microsoft Sentinel, sélectionnez Classeurs.

  4. Recherchez le classeur intitulé Renseignement sur les menaces. Vérifiez que la table contient des ThreatIntelligenceIndicator données.

    Capture d’écran montrant la vérification que vous disposez de données.

  5. Sélectionnez Enregistrer, puis choisissez un emplacement Azure dans lequel stocker le classeur. Cette étape est requise si vous envisagez de modifier le classeur de quelque manière que ce soit et d’enregistrer vos modifications.

  6. Sélectionnez maintenant Afficher le classeur enregistré pour ouvrir le classeur à des fins d’affichage et de modification.

  7. Vous devez maintenant voir les graphiques par défaut fournis par le modèle. Pour modifier un graphique, sélectionnez Modifier en haut de la page pour démarrer le mode d’édition du classeur.

  8. Ajoutez un nouveau graphique d’indicateurs de menace par type de menace. Faites défiler vers le bas de la page et sélectionnez Ajouter une requête.

  9. Ajoutez le texte suivant à la zone de texte Requête de journal de l’espace de travail Log Analytics :

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    Pour plus d’informations sur les éléments suivants utilisés dans l’exemple précédent, consultez la documentation Kusto :

  10. Dans le menu déroulant Visualisation , sélectionnez Graphique à barres.

  11. Sélectionnez Modification terminée, puis affichez le nouveau graphique de votre classeur.

    Capture d’écran montrant un graphique à barres pour le classeur.

Les classeurs fournissent des tableaux de bord interactifs puissants qui vous donnent des insights sur tous les aspects de Microsoft Sentinel. Vous pouvez effectuer de nombreuses tâches avec des classeurs, et les modèles fournis sont un excellent point de départ. Personnalisez les modèles ou créez des tableaux de bord en combinant de nombreuses sources de données afin de pouvoir visualiser vos données de manière unique.

Microsoft Sentinel classeurs sont basés sur des classeurs Azure Monitor, de sorte qu’une documentation complète et de nombreux autres modèles sont disponibles. Pour plus d’informations, consultez Créer des rapports interactifs avec des classeurs Azure Monitor.

Il existe également une ressource enrichie pour Azure les classeurs Monitor sur GitHub, où vous pouvez télécharger d’autres modèles et contribuer à vos propres modèles.

Exporter le renseignement sur les menaces

Microsoft Sentinel vous permet d’exporter le renseignement sur les menaces vers d’autres destinations. Par exemple, si vous avez ingéré du renseignement sur les menaces à l’aide du connecteur de données Renseignement sur les menaces - TAXII , vous pouvez exporter le renseignement sur les menaces vers la plateforme source pour le partage de renseignements bidirectionnels. La fonctionnalité d’exportation réduit le besoin de processus manuels ou de playbooks personnalisés pour distribuer le renseignement sur les menaces.

Importante

Examinez soigneusement les données de renseignement sur les menaces que vous exportez et leur destination, qui peuvent résider dans une autre région géographique ou réglementaire. L’exportation de données ne peut pas être annulée. Assurez-vous que vous êtes propriétaire des données ou que vous disposez des autorisations appropriées avant d’exporter ou de partager des informations sur les menaces avec des tiers.

Pour exporter le renseignement sur les menaces :

  1. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Gestion intel du renseignement sur les menaces>. Pour Microsoft Sentinel dans le Portail Azure, sélectionnez Threat management Threat intelligence>.

  2. Sélectionnez un ou plusieurs objets STIX, puis sélectionnez Exporter dans la barre d’outils en haut de la page. Par exemple :

  3. Dans le volet Exporter , dans la liste déroulante Exporter ti , sélectionnez le serveur vers lequel vous souhaitez exporter votre renseignement sur les menaces.

    Si aucun serveur n’est répertorié, vous devez d’abord configurer un serveur pour l’exportation, comme décrit dans Activer le connecteur de données Threat Intelligence - TAXII Export. Microsoft Sentinel prend actuellement en charge l’exportation vers des plateformes TAXII 2.1 uniquement.

  4. Cliquez sur Exporter.

    Importante

    Lorsque vous exportez des objets threat intelligence, le système effectue une opération en bloc. Il existe un problème connu où cette opération en bloc échoue parfois. Si cela se produit, un avertissement s’affiche lorsque vous ouvrez le panneau latéral Exporter, vous demandant de supprimer l’action ayant échoué de la vue historique des opérations en bloc. Le système suspend les opérations suivantes jusqu’à ce que vous supprimiez l’opération ayant échoué.

Pour accéder à l’historique d’exportation :

  1. Accédez à l’élément exporté dans la page Gestion Intel (portail Defender) ou Renseignement sur les menaces (Portail Azure).
  2. Dans la colonne Exportations , sélectionnez Afficher l’historique des exportations pour afficher l’historique des exportations pour cet élément.

Contenu connexe

Si vous souhaitez en savoir plus, consultez les articles suivants :

Pour plus d’informations sur KQL, consultez vue d’ensemble de Langage de requête Kusto (KQL).

Autres ressources :

  • Last updated on