Créer des règles analytiques planifiées à partir de modèles
De loin le type de règle analytique le plus courant, les règles planifiées sont basées sur des requêtes Kusto configurées pour s’exécuter à intervalles réguliers et examiner les données brutes d’une période de « recherche arrière » définie. Ces requêtes peuvent effectuer des opérations statistiques complexes sur les données cibles, révélant des bases de référence et des valeurs hors norme dans des groupes d’événements. Si le nombre de résultats capturés par la requête dépasse le seuil configuré dans la règle, la règle produit une alerte.
Microsoft crée une vaste gamme de modèles de règle analytique disponibles dans les nombreuses solutions fournies dans le hub de contenu, et vous encourage vivement à les utiliser pour créer vos règles. Les requêtes dans les modèles de règle planifiée ont été écrites par des experts en science des données et en sécurité, chez Microsoft ou chez le fournisseur de la solution fournissant le modèle.
Cet article vous montre comment créer une règle analytique planifiée à partir d’un modèle.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Voir les règles analytiques existantes
Pour voir les règles analytiques installées dans Microsoft Sentinel, accédez à la page Analytique. L’onglet Modèles de règle affiche tous les modèles de règle installés. Si vous souhaitez trouver d’autres modèles de règles, accédez au Hub de contenu dans Microsoft Sentinel pour installer des solutions de produits associées ou du contenu autonome.
Sélectionnez Analytics dans la section Configuration du menu de navigation Microsoft Sentinel.
Dans l’écran Analytique, sélectionnez l’onglet Modèles de règle.
Si vous voulez filtrer la liste sur les modèles Planifiés :
Sélectionnez Ajouter un filtre et choisissez Type de règle dans la liste des filtres.
Dans la liste obtenue, sélectionnez Planifiés. Sélectionnez ensuite Appliquer.
Créer une règle à partir d’un modèle
Cette procédure décrit comment utiliser une règle analytique à partir d’un modèle.
Dans la section Configuration du menu de navigation de Microsoft Sentinel, sélectionnez Analytics.
Dans l’écran Analytique, sélectionnez l’onglet Modèles de règle.
Sélectionnez un nom de modèle, puis sélectionnez le bouton Créer une règle dans le volet d’informations pour créer une règle active basée sur ce modèle.
Chaque modèle possède une liste de sources de données requises. Lorsque vous ouvrez le modèle, la disponibilité des sources de données est automatiquement vérifiée. Si une source de données n’est pas activée, le bouton Créer une règle peut être désactivé ou un message peut s’afficher à cet effet.
L’Assistant Création de règle s’ouvre. Tous les détails sont renseignés automatiquement.
Parcourez les onglets de l’Assistant, personnalisez la logique et d’autres paramètres de règle si possible pour mieux répondre à vos besoins spécifiques.
Quand vous arrivez à la fin de l’Assistant Création de règle, Microsoft Sentinel crée la règle. La nouvelle règle s’affiche sous l’onglet Règles actives.
Répétez le processus pour créer d’autres règles. Pour plus d’informations sur la personnalisation de vos règles dans l’Assistant Création de règle, consultez Créer une règle analytique personnalisée à partir de zéro.
Conseil
Veillez à activer toutes les règles associées à vos sources de données connectées afin de garantir une protection complète de votre environnement. La méthode la plus efficace pour activer les règles analytiques est directement à partir de la page du connecteur de données, qui liste toutes les règles associées. Pour plus d’informations, consultez Connecter des sources de données.
Vous pouvez également envoyer des règles à Microsoft Sentinel via l’API et PowerShell , même si cela demande davantage d’effort.
Lorsque vous utilisez l’API ou PowerShell, vous devez d’abord exporter les règles vers JSON avant de les activer. L’API ou PowerShell peuvent être utiles lors de l’activation de règles dans plusieurs instances de Microsoft Sentinel avec des paramètres identiques dans chaque instance.
Étapes suivantes
Dans ce document, vous avez appris à créer des règles analytiques planifiées à partir de modèles dans Microsoft Sentinel.
- En savoir plus sur les règles d’analyse.
- Découvrez comment créer une règle analytique à partir de zéro.