Créez vos propres incidents manuellement dans Microsoft Sentinel dans le Portail Azure

  • S’applique à: Microsoft Sentinel in the Azure portal

Importante

La création manuelle des incidents, à l’aide du portail ou de Logic Apps, est actuellement en préversion. Consultez les Conditions d’utilisation supplémentaires de Microsoft Azure Préversions pour obtenir des conditions juridiques supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore mises en disponibilité générale.

La création manuelle d’incident est généralement disponible à l’aide de l’API.

Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.

Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Mise hors service Microsoft Sentinel’Portail Azure pour une sécurité accrue.

Avec Microsoft Sentinel comme solution SIEM (Security Information and Event Management), les activités de détection et de réponse aux menaces de vos opérations de sécurité sont centrées sur les incidents que vous examinez et corrigez. Ces incidents ont deux sources principales :

  • Elles sont générées automatiquement lorsque les mécanismes de détection fonctionnent sur les journaux et les alertes que Microsoft Sentinel ingèrent à partir de ses sources de données connectées.

  • Ils sont ingérés directement à partir d’autres services de sécurité Microsoft connectés (tels que Microsoft Defender XDR) qui les ont créés.

Toutefois, les données sur les menaces peuvent également provenir d’autres sources non ingérées dans Microsoft Sentinel, ou d’événements qui n’ont pas été enregistrés dans un journal, et peuvent pourtant justifier l’ouverture d’une enquête. Par exemple, un employé peut remarquer qu’une personne non reconnue se livre à des activités suspectes liées aux ressources d’information de votre organization. Cet employé peut appeler ou envoyer un e-mail au centre des opérations de sécurité (SOC) pour signaler l’activité.

Microsoft Sentinel dans le Portail Azure permet à vos analystes de sécurité de créer manuellement des incidents pour n’importe quel type d’événement, quelle que soit sa source ou ses données, afin que vous ne manquiez pas d’examiner ces types de menaces inhabituels.

Cas d’utilisation courants

Créer un incident pour un événement signalé

Il s’agit du scénario décrit dans l’introduction ci-dessus.

Créer des incidents à partir d’événements provenant de systèmes externes

Créez des incidents basés sur des événements provenant de systèmes dont les journaux ne sont pas ingérés dans Microsoft Sentinel. Par exemple, une campagne d’hameçonnage par SMS peut utiliser la marque et les thèmes de votre organization pour cibler les appareils mobiles personnels des employés. Vous souhaiterez peut-être examiner une telle attaque, et vous pouvez créer un incident dans Microsoft Sentinel afin de disposer d’une plateforme pour gérer votre investigation, collecter et consigner les preuves, et enregistrer vos actions de réponse et d’atténuation.

Créer des incidents en fonction des résultats de la chasse

Créer des incidents en fonction des résultats observés des activités de chasse. Par exemple, lors de la chasse aux menaces dans le contexte d’une enquête particulière (ou par vous-même), vous pouvez rencontrer des preuves d’une menace complètement indépendante qui justifie sa propre enquête distincte.

Créer manuellement un incident

Il existe trois façons de créer un incident manuellement :

Après l’intégration de Microsoft Sentinel au portail Microsoft Defender, les incidents créés manuellement ne sont pas synchronisés avec le portail Defender, bien qu’ils puissent toujours être consultés et gérés dans Microsoft Sentinel dans le Portail Azure, ainsi que via Logic Apps et l’API.

Autorisations

Les rôles et autorisations suivants sont requis pour créer manuellement un incident.

Méthode Rôle requis
Portail Azure et API Un des éléments suivants :
  • répondeur Microsoft Sentinel
  • contributeur Microsoft Sentinel
    		•
    Azure Logic Apps L’un des éléments ci-dessus, plus :
  • Microsoft Sentinel opérateur playbook pour utiliser un playbook existant
  • Contributeur d’application logique pour créer un playbook
    		•

    En savoir plus sur les rôles dans Microsoft Sentinel.

    Créer un incident à l’aide du Portail Azure

    1. Sélectionnez Microsoft Sentinel et choisissez votre espace de travail.

    2. Dans le menu de navigation Microsoft Sentinel, sélectionnez Incidents.

    3. Dans la page Incidents , sélectionnez + Créer un incident (préversion) dans la barre de boutons.

      Capture d’écran de l’écran d’incident principal, localisant le bouton permettant de créer un incident manuellement.

      Le panneau Créer un incident (préversion) s’ouvre sur le côté droit de l’écran.

      Capture d’écran du panneau de création d’incident manuelle, tous les champs sont vides.

    4. Renseignez les champs du panneau en conséquence.

      • Title

        • Entrez le titre de votre choix pour l’incident. L’incident s’affiche dans la file d’attente avec ce titre.
        • Obligatoire. Texte libre d’une longueur illimitée. Les espaces seront tronqués.

      • Description

        • Entrez des informations descriptives sur l’incident, notamment des détails tels que l’origine de l’incident, les entités impliquées, les relations avec d’autres événements, la personne informée, etc.
        • Facultatif. Texte libre jusqu’à 5 000 caractères.

      • Gravité

        • Choisissez une gravité dans la liste déroulante. Toutes les gravités prises en charge par Microsoft Sentinel sont disponibles.
        • Obligatoire. La valeur par défaut est « Medium ».

      • État

        • Choisissez un status dans la liste déroulante. Tous les états pris en charge par Microsoft Sentinel sont disponibles.
        • Obligatoire. La valeur par défaut est « New ».
        • Vous pouvez créer un incident avec un status « fermé », puis l’ouvrir manuellement par la suite pour apporter des modifications et choisir un autre status. Le choix de « fermé » dans la liste déroulante active les champs de raison de classification pour vous permettre de choisir une raison de fermer l’incident et d’ajouter des commentaires. Capture d’écran des champs de raison de classification pour la fermeture d’un incident.

      • Owner

        • Choisissez parmi les utilisateurs ou groupes disponibles dans votre locataire. Commencez à taper un nom pour rechercher des utilisateurs et des groupes. Sélectionnez le champ (cliquez ou appuyez) pour afficher une liste de suggestions. Choisissez « m’attribuer » en haut de la liste pour attribuer l’incident à vous-même.
        • Facultatif.

      • Tags

        • Utilisez des étiquettes pour classifier les incidents et les filtrer et les localiser dans la file d’attente.
        • Créez des étiquettes en sélectionnant l’icône signe plus, en entrant du texte dans la boîte de dialogue, puis en sélectionnant OK. La saisie semi-automatique suggère les balises utilisées dans l’espace de travail au cours des deux semaines précédentes.
        • Facultatif. Texte libre.

    5. Sélectionnez Créer en bas du panneau. Après quelques secondes, l’incident est créé et apparaît dans la file d’attente des incidents.

      Si vous affectez à un incident un status « Fermé », il n’apparaît pas dans la file d’attente tant que vous n’avez pas modifié le filtre status pour afficher également les incidents fermés. Le filtre est défini par défaut pour afficher uniquement les incidents avec un status « Nouveau » ou « Actif ».

    Sélectionnez l’incident dans la file d’attente pour afficher ses détails complets, ajouter des signets, modifier son propriétaire et son status, etc.

    Si, pour une raison quelconque, vous changez d’avis après avoir créé l’incident, vous pouvez le supprimer de la grille de file d’attente ou de l’incident lui-même. Vous devez disposer du rôle Contributeur Microsoft Sentinel pour supprimer un incident.

    Créer un incident à l’aide de Azure Logic Apps

    La création d’un incident est également disponible en tant qu’action Logic Apps dans le connecteur Microsoft Sentinel et, par conséquent, dans Microsoft Sentinel playbooks.

    Vous trouverez l’action Créer un incident (préversion) dans le schéma du playbook pour le déclencheur d’incident.

    Capture d’écran de l’action créer une application logique d’incident dans Microsoft Sentinel connecteur.

    Vous devez fournir des paramètres comme décrit ci-dessous :

    • Sélectionnez votre abonnement, votre groupe de ressources et le nom de l’espace de travail dans leurs listes déroulantes respectives.

    • Pour les champs restants, consultez les explications ci-dessus (sous Créer un incident à l’aide de la Portail Azure).

      Capture d’écran de la création de paramètres d’action d’incident dans Microsoft Sentinel connecteur.

    Microsoft Sentinel fournit des exemples de modèles de playbook qui vous montrent comment utiliser cette fonctionnalité :

    • Créer un incident avec Microsoft Form
    • Créer un incident à partir de la boîte de réception de messagerie partagée

    Vous pouvez les trouver dans la galerie de modèles de playbooks sur la page Microsoft Sentinel Automation.

    Créer un incident à l’aide de l’API Microsoft Sentinel

    Le groupe d’opérations Incidents vous permet non seulement de créer, mais également de mettre à jour (modifier),d’obtenir (récupérer), de répertorier et de supprimer des incidents.

    Vous créez un incident à l’aide du point de terminaison suivant. Une fois cette demande effectuée, l’incident est visible dans la file d’attente des incidents dans le portail.

    PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

    Voici un exemple de corps de requête :

    {
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

    Notes

    • Les incidents créés manuellement ne contiennent pas d’entités ou d’alertes. Par conséquent, l’onglet Alertes de la page d’incident reste vide tant que vous n’avez pas associé les alertes existantes à votre incident.

      L’onglet Entités reste également vide, car l’ajout d’entités directement aux incidents créés manuellement n’est actuellement pas pris en charge. (Si vous associez une alerte à cet incident, les entités de l’alerte apparaissent dans l’incident.)

    • Les incidents créés manuellement n’affichent pas non plus de nom de produit dans la file d’attente.

    • La file d’attente des incidents est filtrée par défaut pour afficher uniquement les incidents avec un status « Nouveau » ou « Actif ». Si vous créez un incident avec un status « Fermé », il n’apparaît pas dans la file d’attente tant que vous n’avez pas modifié le filtre status pour afficher également les incidents fermés.

    Prochaines étapes

    Pour plus d’informations, reportez-vous aux rubriques suivantes :

    • Last updated on