Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Les détections personnalisées constituent désormais le meilleur moyen de créer de nouvelles règles dans Microsoft Sentinel Microsoft Defender XDR SIEM. Les détections personnalisées vous permettent de réduire les coûts d’ingestion, d’obtenir des détections en temps réel illimitées et de bénéficier d’une intégration transparente avec Defender XDR données, fonctions et actions de correction avec le mappage automatique d’entités. Pour plus d’informations, consultez ce blog.
Les règles d’analyse en quasi-temps réel de Microsoft Sentinel fournissent une détection des menaces prête à l’emploi jusqu’à la minute. Ce type de règle a été conçu pour être très réactif en exécutant sa requête à intervalles d’une minute d’intervalle.
Pour le moment, ces modèles ont une application limitée comme indiqué ci-dessous, mais la technologie évolue rapidement et se développe.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Afficher les règles en quasi-temps réel (NRT)
Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analytique.
Dans l’écran Analytique , avec l’onglet Règles actives sélectionné, filtrez la liste des modèles NRT :
Sélectionnez Ajouter un filtre et choisissez Type de règle dans la liste des filtres.
Dans la liste résultante, sélectionnez NRT. Sélectionnez ensuite Appliquer.
Créer des règles NRT
Vous créez des règles NRT de la même façon que vous créez des règles d’analyse de requêtes planifiées régulières :
Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analytique.
Dans la barre d’action en haut de la grille, sélectionnez +Créer , puis sélectionnez Règle de requête NRT. L’Assistant Règle d’analyse s’ouvre.
Suivez les instructions de l’Assistant Règle d’analyse.
La configuration des règles NRT est à la plupart des égards la même que celle des règles d’analyse planifiées.
Vous pouvez faire référence à plusieurs tables et watchlists dans votre logique de requête.
Vous pouvez utiliser toutes les méthodes d’enrichissement des alertes : mappage d’entités, détails personnalisés et détails d’alerte.
Vous pouvez choisir comment regrouper les alertes en incidents et supprimer une requête lorsqu’un résultat particulier a été généré.
Vous pouvez automatiser les réponses aux alertes et aux incidents.
Vous pouvez exécuter la requête de règle sur plusieurs espaces de travail.
Toutefois, en raison de la nature et des limitations des règles NRT, les fonctionnalités suivantes des règles d’analyse planifiées ne seront pas disponibles dans l’Assistant :
- La planification des requêtes n’est pas configurable, car les requêtes sont automatiquement planifiées pour s’exécuter une fois par minute avec une période de recherche différée d’une minute.
- Le seuil d’alerte n’est pas pertinent, car une alerte est toujours générée.
- La configuration du regroupement d’événements est désormais disponible dans un degré limité. Vous pouvez choisir qu’une règle NRT génère une alerte pour chaque événement pour un maximum de 30 événements. Si vous choisissez cette option et que la règle génère plus de 30 événements, des alertes à événement unique sont générées pour les 29 premiers événements, et une 30e alerte récapitule tous les événements dans le jeu de résultats.
En outre, en raison des limites de taille des alertes, votre requête doit utiliser des
projectinstructions pour inclure uniquement les champs nécessaires de votre table. Dans le cas contraire, les informations que vous souhaitez exposer risquent d’être tronquées.
Étapes suivantes
Dans ce document, vous avez appris à créer des règles d’analyse en quasi-temps réel (NRT) dans Microsoft Sentinel.
- En savoir plus sur les règles d’analyse en temps quasi réel (NRT) dans Microsoft Sentinel.
- Explorez d’autres types de règles d’analytique.