Tutoriel : Détecter les menaces à l’aide de règles d’analyse dans Microsoft Sentinel

Importante

Les détections personnalisées constituent désormais le meilleur moyen de créer de nouvelles règles dans Microsoft Sentinel Microsoft Defender XDR SIEM. Les détections personnalisées vous permettent de réduire les coûts d’ingestion, d’obtenir des détections en temps réel illimitées et de bénéficier d’une intégration transparente avec Defender XDR données, fonctions et actions de correction avec le mappage automatique d’entités. Pour plus d’informations, consultez ce blog.

En tant que service SIEM (Security Information and Event Management), Microsoft Sentinel est responsable de la détection des menaces de sécurité pour votre organization. Pour ce faire, il analyse les volumes massifs de données générés par tous les journaux de vos systèmes.

Dans ce tutoriel, vous allez apprendre à configurer une règle d’analytique Microsoft Sentinel à partir d’un modèle pour rechercher des exploits de la vulnérabilité Apache Log4j dans votre environnement. La règle encadrera les comptes d’utilisateur et les adresses IP trouvés dans vos journaux en tant qu’entités pouvant faire l’objet d’un suivi, exposera des informations notables dans les alertes générées par les règles et empaquetera les alertes en tant qu’incidents à examiner.

Lorsque vous aurez terminé ce tutoriel, vous serez en mesure d’effectuer les étapes suivantes :

  • Créer une règle d’analyse à partir d’un modèle
  • Personnaliser la requête et les paramètres d’une règle
  • Configurer les trois types d’enrichissement d’alerte
  • Choisir des réponses automatisées aux menaces pour vos règles

Configuration requise

Pour suivre ce didacticiel, vérifiez que vous disposez des points suivants :

  • Un abonnement Azure. Créez un compte gratuit si vous n’en avez pas déjà un.

  • Un espace de travail Log Analytics avec la solution Microsoft Sentinel déployée sur celui-ci et les données qui y sont ingérées.

  • Un utilisateur Azure avec le rôle contributeur Microsoft Sentinel attribué sur l’espace de travail Log Analytics où Microsoft Sentinel est déployé.

  • Les sources de données suivantes sont référencées dans cette règle. Plus vous avez déployé de connecteurs pour, plus la règle sera efficace. Vous devez en avoir au moins un.

    Source de données Tables Log Analytics référencées
    Office 365 OfficeActivity (SharePoint)
    OfficeActivity (Exchange)
    OfficeActivity (Teams)
    DNS DnsEvents
    Azure Monitor (VM Insights) VMConnection
    Cisco ASA CommonSecurityLog (Cisco)
    Palo Alto Networks (pare-feu) CommonSecurityLog (PaloAlto)
    Événements de sécurité SecurityEvents
    Identifiant Microsoft Entra SigninLogs
    AADNonInteractiveUserSignInLogs
    Azure Monitor (WireData) WireData
    Azure Monitor (IIS) W3CIISLog
    activité Azure AzureActivity
    Amazon Web Services AWSCloudTrail
    Microsoft Defender XDR DeviceNetworkEvents
    Pare-feu Azure AzureDiagnostics (Pare-feu Azure)

Connectez-vous au Portail Azure et au Microsoft Sentinel

  1. Connectez-vous au Portail Azure.

  2. Dans la barre de recherche, recherchez et sélectionnez Microsoft Sentinel.

  3. Recherchez et sélectionnez votre espace de travail dans la liste des espaces de travail Microsoft Sentinel disponibles.

Installer une solution à partir du hub de contenu

  1. Dans Microsoft Sentinel, dans le menu de gauche sous Gestion du contenu, sélectionnez Hub de contenu.

  2. Recherchez et sélectionnez la solution Détection des vulnérabilités Log4j.

  3. Dans la barre d’outils en haut de la page, sélectionnez Installer/Mettre à jour.

Créer une règle d’analyse planifiée à partir d’un modèle

  1. Dans Microsoft Sentinel, dans le menu de gauche sous Configuration, sélectionnez Analytique.

  2. Dans la page Analytique , sélectionnez l’onglet Modèles de règle .

  3. Dans le champ de recherche en haut de la liste des modèles de règle, entrez log4j.

  4. Dans la liste filtrée des modèles, sélectionnez Exploit de vulnérabilité Log4j alias Log4Shell IP IOC. Dans le volet d’informations, sélectionnez Créer une règle.

    Capture d’écran montrant comment rechercher et localiser un modèle et créer une règle d’analyse.

    L’Assistant Règle d’analyse s’ouvre.

  5. Sous l’onglet Général , dans le champ Nom , entrez Log4j vulnerability exploit alias Log4Shell IP IOC - Tutorial-1.

  6. Laissez les autres champs de cette page tels qu’ils sont. Il s’agit des valeurs par défaut, mais nous ajouterons la personnalisation au nom de l’alerte à un stade ultérieur.

    Si vous ne souhaitez pas que la règle s’exécute immédiatement, sélectionnez Désactivé. La règle sera ajoutée à votre onglet Règles actives et vous pourrez l’activer à partir de là lorsque vous en avez besoin.

  7. Sélectionnez Suivant : Définir la logique de règle. Capture d’écran de l’onglet Général de l’Assistant Règle d’analyse.

Passer en revue la logique de requête de règle et la configuration des paramètres

Enrichir les alertes avec des entités et d’autres détails

  1. Sous Enrichissement des alertes, conservez les paramètres de mappage d’entité tels qu’ils sont. Notez les trois entités mappées.

    Capture d’écran des paramètres de mappage d’entités existants.

  2. Dans la section Détails personnalisés , nous allons ajouter l’horodatage de chaque occurrence à l’alerte, afin que vous puissiez le voir directement dans les détails de l’alerte, sans avoir à descendre dans la hiérarchie.

    1. Tapez timestamp dans le champ Clé . Il s’agit du nom de la propriété dans l’alerte.
    2. Sélectionnez timestamp dans la liste déroulante Valeur .

  3. Dans la section Détails de l’alerte, nous allons personnaliser le nom de l’alerte afin que l’horodatage de chaque occurrence apparaisse dans le titre de l’alerte.

    Dans le champ Format du nom de l’alerte , entrez l’exploit de vulnérabilité Log4j alias LOG4Shell IP IOC à l’adresse {{timestamp}}.

    Capture d’écran des détails personnalisés et des configurations des détails d’alerte.

Passer en revue les paramètres restants

  1. Passez en revue les paramètres restants sous l’onglet Définir la logique de règle . Il n’est pas nécessaire de modifier quoi que ce soit, bien que vous le puissiez si vous souhaitez modifier l’intervalle, par exemple. Assurez-vous simplement que la période de recherche arrière correspond à l’intervalle afin de maintenir une couverture continue.

    • Planification des requêtes :

      • Exécuter la requête toutes les 1 heure.
      • Données de recherche de la dernière heure.

    • Seuil d’alerte :

      • Générer une alerte lorsque le nombre de résultats de requête est supérieur à 0.

    • Regroupement d’événements :

      • Configurer la façon dont les résultats de la requête de règle sont regroupés en alertes : regroupez tous les événements en une seule alerte.

    • Suppression :

      • Arrêtez l’exécution de la requête après la génération de l’alerte : Désactivé.

    Capture d’écran des paramètres de logique de règle restants pour la règle d’analyse.

  2. Sélectionnez Suivant : Paramètres de l’incident.

Passer en revue les paramètres de création d’incident

  1. Passez en revue les paramètres sous l’onglet Paramètres de l’incident . Il n’est pas nécessaire de modifier quoi que ce soit, sauf si, par exemple, vous disposez d’un système différent pour la création et la gestion des incidents, auquel cas vous souhaitez désactiver la création des incidents.

    • Paramètres d’incident :

      • Créer des incidents à partir d’alertes déclenchées par cette règle d’analyse : Activé.

    • Regroupement d’alertes :

      • Regroupez les alertes associées, déclenchées par cette règle d’analyse, en incidents : Désactivé.

    Capture d’écran de l’onglet Paramètres d’incident de l’Assistant Règle d’analyse.

  2. Sélectionnez Suivant : Réponse automatisée.

Définir des réponses automatisées et créer la règle

Sous l’onglet Réponse automatisée :

  1. Sélectionnez + Ajouter nouveau pour créer une règle d’automatisation pour cette règle d’analyse. L’Assistant Créer une règle d’automatisation s’ouvre.

    Capture d’écran de l’onglet Réponse automatisée dans l’Assistant Règle d’analyse.

  2. Dans le champ Nom de la règle Automation , entrez Détection d’exploit de vulnérabilité Log4J - Tutorial-1.

  3. Laissez les sections Déclencheur et Conditions telles quelles.

  4. Sous Actions, sélectionnez Ajouter des balises dans la liste déroulante.

    1. Sélectionnez + Ajouter une balise.
    2. Entrez Log4J exploit dans la zone de texte, puis sélectionnez OK.

  5. Laissez les sections Expiration de la règle et Commande telles quelles.

  6. Sélectionnez Appliquer. Vous verrez bientôt votre nouvelle règle d’automatisation dans la liste sous l’onglet Réponse automatisée .

  7. Sélectionnez Suivant : Vérifier pour passer en revue tous les paramètres de votre nouvelle règle d’analyse. Lorsque le message « Validation réussie » s’affiche, sélectionnez Créer. Sauf si vous définissez la règle sur Désactivé dans l’onglet Général ci-dessus, la règle s’exécute immédiatement.

    Sélectionnez l’image ci-dessous pour afficher la révision complète (la majeure partie du texte de la requête a été coupée pour plus de visibilité).

    Capture d’écran de l’onglet Vérifier et créer de l’Assistant Règle d’analyse.

Vérifier la réussite de la règle

  1. Pour afficher les résultats des règles d’alerte que vous créez, accédez à la page Incidents .

  2. Pour filtrer la liste des incidents sur ceux générés par votre règle d’analyse, entrez le nom (ou une partie du nom) de la règle d’analyse que vous avez créée dans la barre de recherche .

  3. Ouvrez un incident dont le titre correspond au nom de la règle d’analyse. Vérifiez que l’indicateur que vous avez défini dans la règle d’automatisation a été appliqué à l’incident.

Nettoyer les ressources

Si vous ne comptez pas continuer à utiliser cette règle d’analyse, supprimez (ou au moins désactivez) les règles d’analyse et d’automatisation que vous avez créées en procédant comme suit :

  1. Dans la page Analytics , sélectionnez l’onglet Règles actives .

  2. Entrez le nom (ou une partie du nom) de la règle d’analyse que vous avez créée dans la barre de recherche .
    (S’il n’apparaît pas, vérifiez que tous les filtres sont définis sur Sélectionner tout.)

  3. Marquez la zone case activée en regard de votre règle dans la liste, puis sélectionnez Supprimer dans la bannière supérieure.
    (Si vous ne souhaitez pas le supprimer, vous pouvez sélectionner Désactiver à la place.)

  4. Dans la page Automation , sélectionnez l’onglet Règles d’automatisation .

  5. Entrez le nom (ou une partie du nom) de la règle d’automatisation que vous avez créée dans la barre de recherche .
    (S’il n’apparaît pas, vérifiez que tous les filtres sont définis sur Sélectionner tout.)

  6. Marquez la zone case activée en regard de votre règle d’automatisation dans la liste, puis sélectionnez Supprimer dans la bannière supérieure.
    (Si vous ne souhaitez pas le supprimer, vous pouvez sélectionner Désactiver à la place.)

Étapes suivantes

Maintenant que vous avez appris à rechercher des exploits d’une vulnérabilité courante à l’aide de règles d’analyse, découvrez ce que vous pouvez faire avec l’analytique dans Microsoft Sentinel :

  • Last updated on