Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
De loin le type de règle d’analyse le plus courant, les règles planifiées sont basées sur des requêtes Kusto configurées pour s’exécuter à intervalles réguliers et examiner les données brutes d’une période de « recherche arrière » définie. Ces requêtes peuvent effectuer des opérations statistiques complexes sur leurs données cibles, révélant des bases de référence et des valeurs aberrantes dans des groupes d’événements. Si le nombre de résultats capturés par la requête dépasse le seuil configuré dans la règle, la règle génère une alerte.
Microsoft met à votre disposition un vaste éventail de modèles de règles d’analyse via les nombreuses solutions fournies dans le hub de contenu et vous encourage vivement à les utiliser pour créer vos règles. Les requêtes dans les modèles de règles planifiées sont écrites par des experts en sécurité et en science des données, de Microsoft ou du fournisseur de la solution qui fournit le modèle.
Cet article explique comment créer une règle d’analyse planifiée à l’aide d’un modèle.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Afficher les règles d’analyse existantes
Pour afficher les règles d’analyse installées dans Microsoft Sentinel, accédez à la page Analytique. L’onglet Modèles de règle affiche tous les modèles de règle installés. Pour trouver d’autres modèles de règles, accédez au hub de contenu dans Microsoft Sentinel pour installer les solutions de produit associées ou le contenu autonome.
Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analytique.
Dans l’écran Analytique , sélectionnez l’onglet Modèles de règle .
Si vous souhaitez filtrer la liste des modèles planifiés :
Sélectionnez Ajouter un filtre et choisissez Type de règle dans la liste des filtres.
Dans la liste résultante, sélectionnez Planifié. Sélectionnez ensuite Appliquer.
Créer une règle à partir d’un modèle
Cette procédure décrit comment créer une règle d’analyse à partir d’un modèle.
Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analytique.
Dans l’écran Analytique , sélectionnez l’onglet Modèles de règle .
Sélectionnez un nom de modèle, puis sélectionnez le bouton Créer une règle dans le volet d’informations pour créer une règle active basée sur ce modèle.
Chaque modèle a une liste de sources de données requises. Lorsque vous ouvrez le modèle, la disponibilité des sources de données est automatiquement vérifiée. Si une source de données n’est pas activée, le bouton Créer une règle peut être désactivé ou un message à cet effet peut s’afficher.
L’Assistant Création de règle s’ouvre. Tous les détails sont renseignés automatiquement.
Parcourez les onglets de l’Assistant, en personnalisant la logique et d’autres paramètres de règle si possible pour mieux répondre à vos besoins spécifiques. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Langage de requête Kusto dans Microsoft Sentinel
- Guide de référence rapide KQL
- Bonnes pratiques pour les requêtes Langage de requête Kusto
Lorsque vous arrivez à la fin de l’Assistant Création de règle, Microsoft Sentinel crée la règle. La nouvelle règle apparaît sous l’onglet Règles actives .
Répétez le processus pour créer d’autres règles. Pour plus d’informations sur la personnalisation de vos règles dans l’Assistant Création de règles, consultez Créer une règle d’analyse personnalisée à partir de zéro.
Conseil
Veillez à activer toutes les règles associées à vos sources de données connectées afin de garantir une couverture de sécurité complète pour votre environnement. Le moyen le plus efficace d’activer les règles d’analyse est directement à partir de la page du connecteur de données, qui répertorie toutes les règles associées. Pour plus d’informations, consultez Connecter des sources de données.
Vous pouvez également envoyer (push) des règles à Microsoft Sentinel via l’API et PowerShell, bien que cela nécessite un effort supplémentaire.
Lorsque vous utilisez l’API ou PowerShell, vous devez d’abord exporter les règles au format JSON avant d’activer les règles. L’API ou PowerShell peut être utile lors de l’activation de règles dans plusieurs instances de Microsoft Sentinel avec des paramètres identiques dans chaque instance.
Étapes suivantes
Dans ce document, vous avez appris à créer des règles d’analyse planifiées à partir de modèles dans Microsoft Sentinel.
- En savoir plus sur les règles d’analyse.
- Découvrez comment créer une règle d’analyse à partir de zéro.