Utiliser des résultats de chasse avancés contenant des données Microsoft Sentinel

• S’applique à:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Explorer les résultats

Vous pouvez également explorer les résultats en fonction des fonctionnalités suivantes :

• Développez un résultat en sélectionnant la flèche déroulante à gauche de chaque résultat.
• Le cas échéant, développez les détails des résultats au format JSON ou tableau en sélectionnant la flèche déroulante à gauche de la ligne de résultat applicable pour plus de lisibilité.
• Ouvrez le volet latéral pour afficher les détails d’un enregistrement (en même temps que les lignes développées).

Vous pouvez également cliquer avec le bouton droit sur n’importe quelle valeur de résultat dans une ligne afin de pouvoir l’utiliser pour :

• Ajouter d’autres filtres à la requête existante
• Copier la valeur pour une utilisation plus approfondie
• Mettre à jour la requête pour étendre un champ JSON à une nouvelle colonne

Pour Microsoft Defender XDR données, vous pouvez effectuer d’autres actions en cochant les cases à gauche de chaque ligne de résultat. Sélectionnez Lier à l’incident pour lier les résultats sélectionnés à un incident (lire Lier les résultats d’une requête à un incident) ou Effectuer des actions pour ouvrir l’Assistant Prendre des actions (lire Agir sur les résultats de requête de repérage avancés).

Lier les résultats d'une requête à un incident

Vous pouvez utiliser la fonctionnalité lien vers l’incident pour ajouter des résultats de requête de repérage avancés à un incident nouveau ou existant en cours d’investigation. Cette fonctionnalité vous permet de capturer facilement des enregistrements à partir d’activités de chasse avancées, ce qui vous permet de créer un chronologie ou un contexte plus riche d’événements concernant un incident.

Lier les résultats à des incidents nouveaux ou existants

1. Dans le volet de requête de repérage avancé, entrez votre requête dans le champ de requête fourni, puis sélectionnez Exécuter la requête pour obtenir vos résultats.

2. Dans la page Résultats, sélectionnez les événements ou enregistrements liés à une investigation nouvelle ou en cours sur laquelle vous travaillez, puis sélectionnez Lien vers l’incident.

3. Dans la section Détails de l’alerte du volet Lien vers l’incident, sélectionnez Créer un incident pour convertir les événements en alertes et les regrouper en un nouvel incident :

   Vous pouvez également sélectionner Lier à un incident existant pour ajouter les enregistrements sélectionnés à un incident existant. Choisissez l’incident associé dans la liste déroulante des incidents existants. Vous pouvez également entrer les premiers caractères du nom ou de l’ID de l’incident pour trouver l’incident souhaité.
   

4. Pour l’une ou l’autre sélection, fournissez les détails suivants, puis sélectionnez Suivant :

   • Titre de l’alerte : titre descriptif des résultats que vos répondants aux incidents peuvent comprendre ; ce titre descriptif devient le titre de l’alerte
   • Gravité : choisissez la gravité applicable au groupe d’alertes.
   • Catégorie : choisissez la catégorie de menace appropriée pour les alertes
   • Description : donnez une description utile des alertes groupées
   • Actions recommandées : répertorie les actions de correction recommandées pour les analystes de sécurité qui enquêtent sur l’incident

5. Dans la section Entités , sélectionnez les entités impliquées dans les événements suspects. Ces entités sont utilisées pour mettre en corrélation d’autres alertes à l’incident lié et sont visibles à partir de la page de l’incident.

   Pour Microsoft Defender XDR données, les entités sont automatiquement sélectionnées. Si les données proviennent de Microsoft Sentinel, vous devez sélectionner les entités manuellement.

   Il existe deux sections pour lesquelles vous pouvez sélectionner des entités :

   a. Ressources impactées : les ressources impactées qui apparaissent dans les événements sélectionnés doivent être ajoutées ici. Les types de ressources suivants peuvent être ajoutés :

   • Compte
   • Appareil
   • Boîte aux lettres
   • Application cloud
   • Ressource Azure
   • Ressource Amazon Web Services
   • Ressource Google Cloud Platform

   b. Preuve associée : les éléments non-actifs qui apparaissent dans les événements sélectionnés peuvent être ajoutés dans cette section. Les types d’entités pris en charge sont les suivants :

   • Processus
   • Fichier
   • Valeur de Registre
   • IP
   • Application OAuth
   • DNS
   • Groupe de sécurité
   • URL
   • Cluster de messagerie
   • Courrier électronique

Remarque

Pour les requêtes contenant uniquement des données XDR, seuls les types d’entité disponibles dans les tables XDR sont affichés.

6. Une fois qu’un type d’entité est sélectionné, sélectionnez un type d’identificateur qui existe dans les enregistrements sélectionnés afin qu’il puisse être utilisé pour identifier cette entité. Chaque type d’entité a une liste d’identificateurs pris en charge, comme indiqué dans la liste déroulante correspondante. Lisez la description affichée lorsque vous pointez sur chaque identificateur pour mieux le comprendre.

7. Après avoir sélectionné l’identificateur, sélectionnez une colonne dans les résultats de la requête qui contiennent l’identificateur sélectionné. Vous pouvez sélectionner Explorer la requête et les résultats pour ouvrir le panneau de contexte de chasse avancé. Cela vous permet d’explorer votre requête et les résultats pour vous assurer que vous avez choisi la colonne appropriée pour l’identificateur sélectionné.
   
   Dans notre exemple, nous avons utilisé une requête pour rechercher des événements liés à un éventuel incident d’exfiltration d’e-mail. Par conséquent, la boîte aux lettres du destinataire et le compte du destinataire sont les entités concernées, et l’adresse IP de l’expéditeur ainsi que le message électronique sont des preuves associées.

   

   Une alerte différente est créée pour chaque enregistrement avec une combinaison unique d’entités affectées. Dans notre exemple, s’il existe trois combinaisons différentes de boîtes aux lettres de destinataire et d’ID d’objet destinataire, pour instance, trois alertes sont créées et liées à l’incident choisi.

8. Sélectionnez Suivant.

9. Passez en revue les détails que vous avez fournis dans la section Résumé.

10. Sélectionnez Terminé.

Afficher les enregistrements liés dans l’incident

Vous pouvez sélectionner le lien généré à partir de l’étape récapitulative de l’Assistant ou sélectionner le nom de l’incident dans la file d’attente des incidents pour afficher l’incident auquel les événements sont liés.

Dans notre exemple, les trois alertes, représentant les trois événements sélectionnés, ont été liées avec succès à un nouvel incident. Dans chacune des pages d’alerte, vous pouvez trouver les informations complètes sur l’événement ou les événements dans chronologie vue (si disponible) et l’affichage des résultats de la requête.

Vous pouvez également sélectionner l’événement dans la vue chronologie ou dans la vue des résultats de la requête pour ouvrir le volet Inspecter l’enregistrement.

Filtrer les événements ajoutés à l’aide de la chasse avancée

Vous pouvez afficher les alertes générées à partir de la chasse avancée en filtrant les incidents et les alertes par source de détection manuelle .