Détection des menaces dans Microsoft Sentinel
Une fois que vous avez configuré Microsoft Sentinel pour collecter des données dans l’ensemble de votre organisation, vous devez constamment parcourir toutes ces données pour détecter les menaces de sécurité pouvant affecter votre environnement. Pour accomplir cette tâche, Microsoft Sentinel fournit des règles de détection des menaces qui s’exécutent régulièrement, et interrogent les données collectées et les analysent pour détecter les menaces. Ces règles sont disponibles dans différentes variantes et sont collectivement appelées règles analytiques.
Ces règles génèrent des alertes quand elles trouvent ce qu’elles cherchent. Les alertes contiennent des informations sur les événements détectés, comme les entités (utilisateurs, appareils, adresses et autres éléments) impliquées. Les alertes sont agrégées et corrélées dans des incidents (fichiers de cas) que vous pouvez attribuer et investiguer pour découvrir l’étendue complète de la menace détectée et y répondre en conséquence. Vous pouvez également générer des réponses prédéterminées et automatisées dans la configuration propre aux règles.
Vous pouvez créer ces règles à partir de zéro, avec l’Assistant Règle analytique intégré. Toutefois, Microsoft vous encourage fortement à utiliser le vaste groupe de modèles de règle analytique disponibles dans les nombreuses solutions pour Microsoft Sentinel fournies dans le hub de contenu. Ces modèles sont des prototypes de règle prédéfinis, conçus par des équipes d’analystes et d’experts en sécurité, basés sur leur connaissance des menaces connues, des vecteurs d’attaque courants et des chaînes d’escalade d’activités suspectes. Vous activez les règles à partir de ces modèles pour rechercher automatiquement toute activité qui semble suspecte dans votre environnement. La plupart des modèles peuvent être personnalisés pour rechercher des types d’événement spécifiques, ou les masquer, en fonction de vos besoins.
Cet article vous aide à comprendre comment Microsoft Sentinel détecte les menaces et ce qui se passe ensuite.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Types de règles analytiques
Vous pouvez voir les règles analytiques et les modèles que vous pouvez utiliser dans la page Analytique du menu Configuration dans Microsoft Sentinel. Les règles actives actuellement sont visibles sous un onglet, et les modèles pour créer des règles sous un autre onglet. Un troisième onglet affiche les Anomalies, un type de règle spécial décrit plus loin dans cet article.
Pour voir d’autres modèles de règle que ceux affichés, accédez au Hub de contenu dans Microsoft Sentinel pour installer les solutions de produit associées ou du contenu autonome. Des modèles de règle analytique sont disponibles avec presque toutes les solutions de produit dans le hub de contenu.
Les types suivants de règles analytiques et de modèles de règle sont disponibles dans Microsoft Sentinel :
En plus des types de règle précédents, il existe d’autres types de modèle spécialisé pouvant chacun créer une instance de règle, avec des options de configuration limitées :
- Renseignement sur les menaces
- Détection des attaques multiphases avancées (« Fusion »)
- Analytique comportementale du Machine Learning (ML)
Règles planifiées
De loin le type de règle analytique le plus courant, les règles planifiées sont basées sur des requêtes Kusto configurées pour s’exécuter à intervalles réguliers et examiner les données brutes d’une période de « recherche arrière » définie. Si le nombre de résultats capturés par la requête dépasse le seuil configuré dans la règle, la règle produit une alerte.
Les requêtes dans les modèles de règle planifiée ont été écrites par des experts en science des données et en sécurité, chez Microsoft ou chez le fournisseur de la solution fournissant le modèle. Les requêtes peuvent effectuer des opérations statistiques complexes sur les données cibles, révélant des bases de référence et des valeurs hors norme dans des groupes d’événements.
La logique de requête s’affiche dans la configuration de la règle. Vous pouvez utiliser la logique de requête et les paramètres de planification et de recherche comme définis dans le modèle, ou les personnaliser pour créer des règles. Vous pouvez également créer des règles à partir de zéro.
En savoir plus sur les Règles analytiques planifiées dans Microsoft Sentinel.
Règles en quasi-temps réel
Les règles NRT sont un sous-ensemble limité des règles planifiées. Elles sont conçues pour s’exécuter une fois par minute, afin de vous fournir des informations aussi récentes que possible.
Elles fonctionnent principalement comme des règles planifiées et sont configurées de façon similaire, avec certaines limitations.
En savoir plus sur la Détection rapide des menaces avec les règles analytiques en quasi-temps réel (NRT) dans Microsoft Sentinel.
Règles d’anomalie
Les règles d’anomalie utilisent le Machine Learning pour observer des types spécifiques de comportements sur une période donnée pour déterminer une base de référence. Chaque règle a ses propres paramètres et seuils uniques, adaptés au comportement en cours d’analyse. Une fois la période d’observation terminée, la base de référence est définie. Quand la règle observe des comportements qui dépassent les limites définies dans la base de référence, elle signale ces occurrences comme anormales.
Bien que les configurations des règles prêtes à l’emploi ne puissent pas être modifiées ou ajustées, vous pouvez dupliquer une règle, puis modifier et ajuster la duplication. Dans ce cas, exécutez la duplication en mode Flighting et l’original simultanément en mode Production. Comparez ensuite les résultats et basculez la duplication en mode Production si et quand son ajustement vous convient.
Les anomalies elles-mêmes n’indiquent pas nécessairement un comportement malveillant ni même suspect. Par conséquent, les règles d’anomalie ne génèrent pas leurs propres alertes. À la place, elles enregistrent les résultats de leur analyse (les anomalies détectées) dans la table Anomalies. Vous pouvez interroger cette table pour fournir un contexte qui améliore vos détections, vos investigations et votre chasse des menaces.
Pour plus d’informations, consultez Utiliser des anomalies personnalisables pour détecter des menaces dans Microsoft Sentinel et Utiliser des règles d’analyse de détection d’anomalie dans Microsoft Sentinel.
Règles de sécurité Microsoft
Bien que les règles planifiées et NRT créent automatiquement des incidents pour les alertes qu’elles génèrent, les alertes générées dans des services externes et ingérées dans Microsoft Sentinel ne créent pas leurs propres incidents. Les modèles de sécurité Microsoft créent automatiquement des incidents Microsoft Sentinel à partir des alertes générées dans d’autres solutions de sécurité Microsoft, en temps réel. Vous pouvez utiliser des modèles de sécurité Microsoft pour créer des règles ayant une logique similaire.
Important
Les règles de sécurité Microsoft ne sont pas disponibles si vous avez :
- Activé l’Intégration des incidents Microsoft Defender XDR, ou
- Microsoft Sentinel intégré au portail Defender.
Dans ces scénarios, Microsoft Defender XDR crée les incidents à la place.
Toutes les règles que vous avez définies au préalable sont automatiquement désactivées.
Pour plus d’informations sur les règles de création d’incident de sécurité Microsoft, consultez Créer automatiquement des incidents à partir d’alertes de sécurité Microsoft.
Informations sur les menaces
Tirez parti de la veille des menaces générée par Microsoft pour générer des alertes et des incidents haute fidélité avec la règle Microsoft Threat Intelligence Analytics. Cette règle unique n’est pas personnalisable, mais une fois activée, elle fait correspondre automatiquement des journaux CEF (Common Event Format), données Syslog ou événements DNS Windows aux indicateurs de menace d’URL, d’adresse IP et de domaine à partir de Microsoft Threat Intelligence. Certains indicateurs contiennent d’autres informations de contexte via MDTI (Microsoft Defender Threat Intelligence).
Pour plus d’informations sur l’activation de cette règle, consultez Utiliser l’analytique de correspondance pour détecter les menaces.
Pour plus d’informations sur MDTI, consultez Qu’est-ce que Microsoft Defender Threat Intelligence.
Détection des attaques multiphases avancées (Fusion)
Microsoft Sentinel utilise le moteur de corrélation Fusion, avec ses algorithmes scalables de machine learning, pour détecter les attaques multiphases avancées en mettant en corrélation de nombreuses alertes et événements de faible fidélité de plusieurs produits dans des incidents exploitables haute fidélité. La règle de détection des attaques multiphases avancées est activée par défaut. Comme la logique est masquée et donc non personnalisable, il ne peut y avoir qu’une seule règle avec ce modèle.
Le moteur Fusion peut également corréler des alertes produites par des règles d’analyse planifiées avec celles d’autres systèmes, en produisant par conséquent des incidents de haute fidélité.
Important
Le type de règle de détection des attaques multiphases avancées n’est pas disponible si vous avez :
- Activé l’Intégration des incidents Microsoft Defender XDR, ou
- Microsoft Sentinel intégré au portail Defender.
Dans ces scénarios, Microsoft Defender XDR crée les incidents à la place.
De plus, certains modèles de détection Fusion sont actuellement en PRÉVERSION (pour voir lesquels, consultez Détection des attaques multiphases avancées dans Microsoft Sentinel). Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.
Analytique comportementale du Machine Learning (ML)
Tirez parti des algorithmes de machine learning propriétaires de Microsoft pour générer des alertes et des incidents haute fidélité avec les règles analytiques du comportement ML. Ces règles uniques (actuellement en préversion) ne sont pas personnalisables, mais quand elles sont activées, détectent des comportements de connexion SSH et RDP anormaux spécifiques en fonction de l’IP, de la géolocalisation et des informations historiques de l’utilisateur.
Autorisations d’accès pour des règles d’analyse
Lorsque vous créez une règle d’analyse, un jeton d’autorisations d’accès est appliqué à la règle et enregistré avec elle. Ce jeton veille à ce que la règle puisse accéder à l’espace de travail qui contient les données interrogées par la règle, et que cet accès soit conservé même si le créateur de la règle perd l’accès à cet espace de travail.
Toutefois, il existe une exception à cet accès : lorsqu’une règle est créée pour accéder à des espaces de travail dans d’autres abonnements ou locataires, comme ce qui se passe dans le cas d’un MSSP, Microsoft Sentinel prend des mesures de sécurité supplémentaires pour empêcher l’accès non autorisé aux données client. Pour ces types de règles, les informations d’identification de l’utilisateur qui a créé la règle sont appliquées à la règle au lieu d’un jeton d’accès indépendant de sorte que, lorsque l’utilisateur n’a plus accès à l’autre abonnement ou tenant, la règle cesse de fonctionner.
Si vous utilisez Microsoft Sentinel dans un scénario inter-abonnements ou inter-tenants, sachez que si l’un de vos analystes ou ingénieurs perd l’accès à un espace de travail particulier, toutes les règles créées par cet utilisateur cessent de fonctionner. Dans cette situation, vous recevez un message de surveillance de l’intégrité concernant l’« accès insuffisant à la ressource » et la règle est désactivée automatiquement après avoir échoué un certain nombre de fois.
Exporter des règles vers un modèle ARM
Vous pouvez facilement exporter votre règle vers un modèle Azure Resource Manager (ARM) si vous souhaitez gérer et déployer vos règles en tant que code. Vous pouvez également importer des règles à partir de fichiers modèles afin de les afficher et de les modifier dans l’interface utilisateur.
Étapes suivantes
En savoir plus sur les Règles analytiques planifiées dans Microsoft Sentinel et la Détection rapide des menaces avec les règles analytiques en quasi-temps réel (NRT) dans Microsoft Sentinel.
Pour voir d’autres modèles de règle, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.