Créer des règles d’automatisation
Les règles d’automatisation permettent de gérer de manière centralisée l’automatisation de la gestion des incidents, ce qui vous permet d’effectuer des tâches d’automatisation simples sans utiliser de playbooks. Les règles d’automatisation vous permettent, par exemple, d’attribuer automatiquement des incidents au personnel approprié, d’étiqueter des incidents pour les classer, et de modifier l’état d’incidents et de les fermer. Les règles d’automatisation peuvent également automatiser des réponses pour plusieurs règles d’analyse à la fois, contrôler l’ordre des actions exécutées, et exécuter des playbooks dans les cas où des tâches d’automatisation plus complexes seraient nécessaires. Pour résumer, les règles d’automatisation rationalisent l’utilisation de l’automatisation dans Microsoft Sentinel, vous permettant de simplifier des workflows complexes pour vos processus d’orchestration d’incident.
Création et gestion de règles d’automatisation
Vous pouvez créer et gérer des règles d’automatisation à partir de différents points dans l’expérience Microsoft Sentinel, en fonction de votre besoin particulier et de votre cas d’utilisation.
Panneau Automatisation
Vous pouvez gérer les règles d’automatisation de manière centralisée dans le nouveau panneau Automatisation (qui remplace le panneau Playbooks) sous l’onglet Règles d’automatisation (vous pouvez désormais aussi gérer des playbooks dans ce panneau sous l’onglet Playbooks). À partir de là, vous pouvez créer des règles d’automatisation et modifier des règles existantes. Vous pouvez également faire glisser des règles d’automatisation pour modifier leur ordre d’exécution, ainsi que les activer ou les désactiver.
Le panneau Automatisation affiche toutes les règles définies dans l’espace de travail, ainsi que leur état (activé/désactivé) et les règles d’analytique auxquelles elles sont appliquées.
Si vous avez besoin d’une règle d’automatisation s’appliquant à de nombreuses règles d’analytique, créez-la directement dans le panneau Automatisation. Dans le menu supérieur, sélectionnez Créer et Ajouter une nouvelle règle pour ouvrir le panneau Créer une nouvelle règle d’automatisation. À partir de là, vous disposez d’une flexibilité totale pour la configuration de la règle : vous pouvez l’appliquer à toute règle d’analytique (y compris future) et définir la plage la plus large de conditions et d’actions.
Assistant Règle d’analytique
Sous l’onglet Réponse automatisée de l’Assistant Tègle d’analytique, vous pouvez voir, gérer et créer des règles d’automatisation qui s’appliquent à la règle d’analytique particulière créée ou modifiée dans l’Assistant.
Lorsque vous sélectionnez Créer et l’un des types de règles (Règle de requête planifiée ou Règle de création d’incident Microsoft) dans le menu supérieur du panneau Analytique, ou si vous sélectionnez une règle d’analytique existante, puis sélectionnez Modifier, vous ouvrez l’Assistant Règle. Lorsque vous sélectionnez l’onglet Réponse automatisée, vous voyez une section appelée Automatisation des incidents affichant les règles d’automatisation qui s’appliquent actuellement à cette règle. Vous pouvez sélectionner une règle d’automatisation existante à modifier, ou sélectionner Ajouter pour en créer une nouvelle.
Vous remarquerez que, lorsque vous créez la règle d’automatisation à partir d’ici, le panneau Créer une nouvelle règle d’automatisation affiche la condition de Règle d’analytique comme indisponible, car cette règle est déjà définie pour s’appliquer uniquement à la règle d’analytique que vous modifiez dans l’Assistant. Toutes les autres options de configuration sont toujours disponibles.
Panneau Incidents
Vous pouvez également créer une règle d’automatisation à partir du panneau Incidents en réponse à un incident unique et périodique. Cela est utile lors de la création d’une règle de suppression pour la fermeture automatique d’incidents « bruyants ». Sélectionnez un incident dans la file d’attente puis, dans le menu supérieur, sélectionnez Créer une règle d’automatisation.
Vous remarquerez que, dans le volet créer une nouvelle règle d’automatisation tous les champs sont renseignés avec des valeurs de l’incident. Il attribue à la règle le nom de l’incident, l’applique à la règle d’analytique qui a généré l’incident, et utilise toutes les entités disponibles dans l’incident en tant que conditions de la règle. Il suggère également une action de suppression (fermeture) par défaut, ainsi qu’une date d’expiration pour la règle. Vous pouvez ajouter ou supprimer des conditions et actions, ainsi que modifier la date d’expiration à votre guise.
Composants d’une règle d’automatisation
Les règles d’automatisation sont constituées de plusieurs composants :
Déclencheur : les règles d’automatisation sont déclenchées par la création d’un incident.
Pour révision : les incidents sont créés à partir d’alertes déclenchées par des règles d’analytique. Il existe plusieurs types de règles, comme l’explique le tutoriel Détection des menaces avec des règles d’analytique intégrées dans Microsoft Sentinel.
Conditions : vous pouvez définir des ensembles complexes de conditions pour régir le moment où des actions (voir ci-dessous) doivent s’exécuter. Ces conditions sont généralement basées sur les états ou les valeurs d’attributs d’incidents et leurs entités, et peuvent inclure des opérateurs AND/OR/NOT/CONTAINS.
Actions : vous pouvez définir des actions à exécuter quand les conditions (voir ci-dessus) sont remplies. Vous pouvez définir de nombreuses actions dans une règle et choisir l’ordre dans lequel elles s’exécuteront (voir ci-dessous). Vous pouvez définir les actions ci-après à l’aide de règles d’automatisation, sans devoir faire appel à la fonctionnalité avancée d’un playbook :
Modification de l’état d’un incident, maintien à jour de votre flux de travail.
Lors du passage à « fermé », spécification de la raison de la fermeture et ajout d’un commentaire. Cela vous permet d’effectuer le suivi de vos performances et de votre efficacité, ainsi que de régler précisément pour réduire les faux positifs.
Modification de la gravité d’un incident : vous pouvez réévaluer et re-hiérarchiser en fonction de la présence, de l’absence, des valeurs ou des attributs des entités impliquées dans l’incident.
Attribution d’un incident à un propriétaire : cela vous aide à diriger les différents types d’incidents vers le personnel le plus compétent pour les gérer, ou le personnel le plus disponible.
Ajout d’une étiquette à un incident : cela est utile pour classifier les incidents par objet, par attaquant ou par tout autre dénominateur commun.
Vous pouvez également définir une action exécuter un playbook pour prendre des mesures de réponse plus complexes, notamment impliquant des systèmes externes. Seuls les playbooks activés par le déclencheur d’incident sont utilisables dans des règles d’automatisation. Vous pouvez définir une action pour inclure plusieurs playbooks ou des combinaisons de playbooks et d’autres actions, ainsi que l’ordre dans lequel ils s’exécuteront.
Les playbooks utilisant la version de Logic Apps (Standard ou Consommation) seront disponibles pour être exécutés à partir de règles d’automatisation.
Date d’expiration : vous pouvez définir une date d’expiration sur une règle d’automatisation. La règle sera désactivée après cette date. Cela est utile pour gérer (c’est-à-dire fermer) des incidents de « bruit » occasionnés par des activités planifiées limitées dans le temps, telles qu’un test d’intrusion.
Ordre : vous pouvez définir l’ordre dans lequel les règles d’automatisation s’exécuteront. Les règles d’automatisation ultérieures évalueront les conditions de l’incident en fonction de son état après traitement par des règles d’automatisation précédentes.
Par exemple, si une « première règle d’automatisation » a modifié le niveau de gravité d’un incident de Moyenne à Faible, et si une « deuxième règle d’automatisation » est définie pour s’exécuter uniquement sur les incidents de gravité Moyenne ou supérieure, elle ne s’exécute pas sur cet incident.