Répondre aux acteurs de la menace lors de l’examen ou de la chasse aux menaces dans Microsoft Sentinel

  • Article

Cet article explique comment réagir contre les acteurs des menaces sur place, au cours de l’examen d’un incident ou d’une chasse aux menaces, sans pivoter ni quitter le contexte de l’examen ou de la chasse. Pour cela, utilisez des playbooks basés sur le nouveau déclencheur d’entité.

Le déclencheur d’entité prend actuellement en charge les types d’entités suivants :

Important

Le déclencheur d’entité est actuellement disponible en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Exécuter des playbooks avec le déclencheur d’entité

Quand vous examinez un incident et que vous déterminez qu’une entité donnée (un compte d’utilisateur, un hôte, une adresse IP, un fichier, etc.) représente une menace, vous pouvez lancez des actions correctives immédiates sur cette menace en exécutant un playbook à la demande. Vous pouvez faire de même si vous rencontrez des entités suspectes quand vous recherchez des menaces de manière proactive en dehors du contexte des incidents.

  1. Sélectionnez l’entité dans le contexte dans lequel vous la rencontrez, puis choisissez les moyens appropriés pour exécuter un playbook, comme suit :

    • Dans le widget Entités de l’onglet Vue d’ensemble d’un incident dans la page des détails du nouvel incident (désormais en préversion), ou sous son onglet Entités, choisissez une entité dans la liste, sélectionnez les trois points en regard de l’entité, puis sélectionnez Exécuter le playbook (préversion) dans le menu contextuel.

      Screenshot of incident details page.

      Screenshot of entities tab on incident details page.

    • Dans l’onglet Entités d’un incident, choisissez l’entité dans la liste. Sélectionnez le lien Exécuter le playbook (préversion) à la fin de la ligne dans la liste.

      Screenshot of selecting entity from incident details page to run a playbook on it.

    • Dans le graphique des examens, sélectionnez une entité et sélectionnez le bouton Exécuter le playbook (préversion) dans le panneau latéral de l’entité.

      Screenshot of selecting an entity from the investigation graph to run a playbook on it.

    • Dans la page Comportement des entités, sélectionnez une entité. Dans la page d’entité qui apparaît, sélectionnez le bouton Exécuter le playbook (préversion) dans le volet gauche.

      Screenshot of selecting an entity from the entity behavior page to run a playbook on it.

      Screenshot of the selected entity page to run a playbook on an entity.

  2. Chacune de ces actions permet d’ouvrir le panneau Exécuter le playbook sur le <type d’entité>.

    Screenshot of Run playbook on entity panel.

    Deux onglets sont affichés dans ces panneaux : Playbooks et Exécutions.

  3. Dans l’onglet Playbooks, vous pouvez consulter la liste de tous les playbooks auxquels vous avez accès et qui utilisent le déclencheur Entité Sentinel Microsoft pour ce type d’entité (dans ce cas, il s’agit des comptes d’utilisateur). Sélectionnez le bouton Exécuter pour le playbook que vous souhaitez exécuter immédiatement.

    Notes

    Si le playbook que vous souhaitez exécuter ne s’affiche dans la liste, cela signifie que Microsoft Sentinel ne dispose pas des autorisations nécessaires pour exécuter les playbooks dans ce groupe de ressources (en savoir plus). Pour accorder ces autorisations, sélectionnez Paramètres dans le menu principal, choisissez l’onglet Paramètres, développez Autorisations du playbook, puis sélectionnez Configurer les autorisations. Dans le panneau Gérer les autorisations qui s’ouvre, cochez les cases des groupes de ressources contenant les playbooks à exécuter, puis sélectionnez Appliquer.

  4. Vous pouvez auditer l’activité de vos playbooks de déclencheur d’entité dans l’onglet Exécutions. Une liste affiche toutes les fois où un playbook a été exécuté sur l’entité que vous avez sélectionnée. L’affichage des exécutions qui viennent d’être terminées dans cette liste peut prendre quelques secondes. Sélectionner une exécution spécifique permet d’ouvrir le journal complet des exécutions dans Azure Logic Apps.

Étapes suivantes

Dans cet article, vous avez découvert comment exécuter manuellement des playbooks pour corriger les menaces provenant d’entités lors de l’examen d’un incident ou de la chasse des menaces.