Créer une règle d’analytique personnalisée à partir de zéro

• S’applique à:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Vous avez configuré des connecteurs et divers moyens pour collecter des données d’activité dans votre patrimoine numérique. Vous devez maintenant explorer toutes ces données afin d’identifier les modèles d’activité et de détecter les activités qui ne correspondent pas à ces modèles et peuvent représenter une menace de sécurité.

Microsoft Sentinel et les nombreuses solutions fournies dans le hub de contenu proposent des modèles pour les types de règles d’analytique les plus utilisés. Nous vous invitons vivement à les reprendre et les personnaliser pour répondre à vos propres scénarios. Toutefois, vous pouvez avoir besoin d’un élément complètement différent. Dans ce cas, vous pouvez créer une règle à partir de zéro avec l’assistant Règle d’analytique.

Cet article vous guide au fil de l’utilisation de l’assistant Règle d’analytique et explique toutes les options disponibles. Il s’accompagne de captures d’écran et d’instructions permettant aux utilisateurs (utilisateurs de Microsoft Sentinel qui ne sont pas abonnés à Microsoft Defender ni au portail Defender, et utilisateurs de la plateforme d’opérations de sécurité unifiées Microsoft Defender) d’accéder à l’assistant depuis le portail Azure.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Prérequis

• Vous devez disposer du rôle Contributeur Microsoft Sentinel, ou de tout autre rôle ou jeu d’autorisations avec autorisations d’écriture sur votre espace de travail Log Analytics et son groupe de ressources.

Concevoir et générer votre requête

Avant toute chose, vous devez concevoir et générer une requête dans le langage de requête Kusto (KQL) que votre règle utilisera pour interroger une ou plusieurs tables dans votre espace de travail Log Analytics.

1. Identifiez une source de données à explorer afin de détecter toute activité inhabituelle ou suspecte. Recherchez le nom de la table Log Analytics dans laquelle les données de la source sont ingérées. Vous trouverez le nom de la table sur la page du connecteur de données de ladite source. Utilisez ce nom de table (ou une fonction connexe) comme base de la requête.

2. Déterminez le type d’analyse que la requête doit exécuter sur la table. Cette décision détermine les commandes et les fonctions que vous devez utiliser dans la requête.

3. Déterminez les éléments de données (champs, colonnes) à afficher dans les résultats de la requête. Cette décision détermine la façon dont vous allez structurer la sortie de la requête.

Meilleures pratiques pour les requêtes de règles d’analytique

• Nous recommandons d’utiliser un analyseur Advanced Security Information Model (ASIM) comme source de requête plutôt qu’une table native. Cela garantit la compatibilité de la requête avec toutes les sources de données concernées (actuelles et futures) plutôt qu’avec une seule source de données.

• La requête doit comporter 1 à 10 000 caractères, et ne doit pas contenir « search * » ou « union * ». Vous pouvez utiliser des fonctions définies par l’utilisateur pour surmonter la limite de longueur de requête.

• L’utilisation de fonctions ADX pour créer des requêtes Azure Data Explorer à l’intérieur de la fenêtre de requête Log Analytics n’est pas prise en charge.

• Quand vous utilisez la fonction bag_unpack dans une requête, si vous projetez les colonnes sous forme de champs en utilisant « project field1 » et que la colonne n'existe pas, la requête échoue. Pour éviter ce problème, vous devez projeter la colonne de la façon suivante :

  project field1 = column_ifexists("field1","")

Pour plus d’informations sur la création de requêtes Kusto, consultez Langage de requête Kusto dans Microsoft Sentinel et Meilleures pratiques pour les requêtes en langage de requête Kusto.

Générez et testez vos requêtes dans l’écran Journaux. Une fois satisfait·e, enregistrez la requête à utiliser dans votre règle.

Créer votre règle d’analytique

Cette section décrit comment créer une règle avec les portails Azure ou Defender.

Démarrer l’assistant Règle d’analytique

Azure portal

1. Dans la section Configuration du menu de navigation Microsoft Sentinel, sélectionnez Analytique.

2. Sur la barre d'action du haut de l'écran, sélectionnez +Créer, puis Règle de requête planifiée. Cela entraîne l’ouverture de l’Assistant de règle analytique.

   

Portail Defender

1. Dans le menu de navigation Microsoft Defender, développez Microsoft Sentinel, puis Configuration. Sélectionnez Analyse.

2. Sur la barre d’action en haut de la grille, sélectionnez +Créer, puis Règle de requête planifiée. Cela entraîne l’ouverture de l’Assistant de règle analytique.

   

Nommer la règle et définir les informations générales

Dans le portail Azure, les étapes sont représentées sous forme d’onglets. Dans le portail Defender, elles sont représentées sous forme de jalons intégrés à une chronologie. Pour des exemples, consultez les captures d’écran ci-dessous.

1. Entrez un Nom unique et une Description.

2. Définissez l’alerte gravité le cas échéant, en correspondant à l’impact que peut avoir l’activité qui déclenche la règle sur l’environnement cible, si la règle est positive.

   Niveau de gravité	Description
   Informational	Aucun impact sur votre système, mais les informations peuvent indiquer les prochaines étapes planifiées par un acteur de menace.
   Faible	L’impact immédiat serait minimal. Un acteur de menace doit probablement effectuer plusieurs étapes avant d’atteindre un impact sur un environnement.
   Moyenne	L’acteur de menace pourrait avoir un impact sur l’environnement avec cette activité, mais il serait limité dans l’étendue ou nécessiterait une activité supplémentaire.
   Activité	L’activité identifiée fournit à l’acteur de menace un accès étendu pour effectuer des actions sur l’environnement ou est déclenchée par un impact sur l’environnement.

   Les valeurs par défaut au niveau de gravité ne sont pas une garantie de niveau d’impact actuel ou environnemental. Personnaliser les détails de l’alerte pour personnaliser la gravité, les tactiques et d’autres propriétés d’une instance donnée d’une alerte avec les valeurs des champs pertinents d’une sortie de requête.

   Les définitions de gravité des modèles de règles d’analytique Microsoft Sentinel sont pertinentes uniquement pour les alertes créées par des règles d’analyse. Pour les alertes ingérées à partir d’autres services, la gravité est définie par le service de sécurité source.

3. Dans le champ Tactiques et techniques, choisissez les catégories d’activités de menace à utiliser pour classifier la règle. Elles sont basées sur les tactiques et les techniques de l’infrastructure MITRE ATT&CK .

   incidents créés à partir d’alertes détectées par des règles mappées à des tactiques et techniques MITRE ATT&CK héritent automatiquement du mappage de la règle.

   Pour en savoir plus sur la façon d’optimiser votre couverture du paysage des menaces MITRE ATT&CK, consultez Comprendre la couverture de sécurité de l’infrastructure MITRE ATT&CK®.

4. Quand vous créez la règle, son État est Activé par défaut. Cela signifie qu’elle va s’exécuter dès que vous aurez fini de la créer. Si vous ne souhaitez pas qu’elle s’exécute immédiatement, sélectionnez Désactivé. Dans ce cas, la règle est ajoutée à votre onglet Règles actives, à partir duquel vous pouvez l’activer quand vous en avez besoin.

   Remarque

   Sinon, une autre solution (encore en préversion) vous permet de créer une règle sans l’exécuter immédiatement. Vous pouvez planifier la première exécution de la règle à une date et une heure spécifiques. Consultez Planifiez et définissez l’étendue de la requête ci-dessous.

5. Sélectionnez Suivant : Définir la logique de la règle.

   Azure portal

   

   Portail Defender

   

---

Définir la logique de la règle

1. Entrez une requête pour votre règle.

   Collez la requête que vous avez conçue, générée et testée dans la fenêtre Requête de règle. Chaque modification apportée dans cette fenêtre est instantanément validée. Par conséquent, une indication apparaît juste au-dessous de la fenêtre en cas d’erreur.

2. Mappez les entités.

   Les entités sont essentielles pour détecter et étudier les menaces. Mappez les types d’entités reconnus par Microsoft Sentinel sur les champs des résultats de la requête. Ce mappage intègre les entités découvertes dans le champ Entités de votre schéma d’alerte.

   Pour obtenir des instructions complètes sur le mappage d’entités, consultez Mapper des champs de données vers des entités dans Microsoft Sentinel.

3. Présentez des détails personnalisés dans vos alertes.

   Par défaut, seules les entités et les métadonnées d’alerte apparaissent dans les incidents (sans explorer les événements bruts des résultats de la requête). Cette étape reprend d’autres champs des résultats de la requête et les intègre au champ ExtendedProperties de vos alertes. De ce fait, ils apparaissent en tête de vos alertes et dans chaque incident créé à partir de ces alertes.

   Pour des instructions complètes sur la façon de présenter des détails personnalisés, consultez Présenter des détails personnalisés dans les alertes Microsoft Sentinel.

4. Personnalisez les détails de l’alerte.

   Ce paramètre vous permet de personnaliser les propriétés d’alerte standard en fonction du contenu des différents champs de chaque alerte. Ces personnalisations sont intégrées au champ ExtendedProperties de vos alertes. Par exemple, vous pouvez personnaliser le nom ou la description de l’alerte pour y inclure un nom d’utilisateur ou une adresse IP.

   Pour des instructions complètes sur la façon de personnaliser les détails de l’alerte, consultez Personnaliser les détails de l’alerte dans Microsoft Sentinel.

5. Planifiez et définissez l’étendue de la requête.

   1. Dans la section Planification de la requête, définissez les paramètres suivants :

      Setting	Comportement
      Exécuter la requête toutes les	Contrôle l’intervalle de requête, la fréquence à laquelle la requête s’exécute.
      Rechercher les données des derniers	Détermine la période de recherche arrière à savoir la période couverte par la requête.

      • La plage autorisée pour ces deux paramètres est comprise entre 5 minutes et 14 jours.

      • L’intervalle de requête doit être plus court ou égal à la période de recherche arrière. S’il est plus court, les périodes de requête se chevauchent, ce qui peut entraîner une duplication des résultats. La validation de la règle ne permet pas de définir un intervalle au-delà de la période de recherche arrière, car cela entraîne des failles de couverture.

   2. Configurez Démarrer l’exécution :

      Setting	Comportement
      Automatiquement	La règle s’exécute pour la première fois immédiatement après avoir été créée, puis à l’intervalle défini dans le paramètre Exécuter chaque requête.
      À un moment précis (préversion)	Définissez une date et une heure pour la première exécution de la règle. Après quoi, elle s’exécutera à l’intervalle défini dans le paramètre Exécuter la requête toutes les.

      • Le délai Démarrer l’exécution doit être compris entre 10 minutes et 30 jours après la création (ou l’activation) de la règle.

      • La ligne de texte sous le paramètre Démarrer l’exécution (avec l’icône d’informations à gauche) résume les paramètres de planification et de recherche de requête actuels.

        

      Azure portal

      

      Portail Defender

      

   Remarque

   Délai d'ingestion

   Pour tenir compte de la latence qui peut se produire entre la génération d’un événement à la source et son ingestion dans Microsoft Sentinel et pour assurer une couverture complète sans duplication de données, Microsoft Sentinel exécute les règles d’analyse planifiées avec un retard de cinq minutes par rapport à l’heure planifiée.

   Pour plus d’informations, consultez Gérer le délai d’ingestion dans les règles d’analyse planifiée.

6. Définissez le seuil de création d’alertes.

   Utilisez la section Seuil d'alerte pour définir le niveau de sensibilité de la règle.

   • Définissez Générer une alerte lorsque le nombre de résultats de la requête sur Est supérieur à et entrez le nombre minimal d’événements à trouver au cours de la période de la requête pour générer une alerte.
   • Il s’agit d’un champ obligatoire. Par conséquent, si vous ne souhaitez pas définir de seuil (si vous souhaitez déclencher l’alerte dès qu’un événement est détecté au cours d’une période donnée), entrez 0 dans le champ de nombre.

7. Définissez les paramètres de regroupement d’événements.

   Sous Regroupement d’événements, choisissez l’une des deux façons de gérer le regroupement d’événements dans alertes :

   Setting	Comportement
   Regrouper tous les événements dans une seule alerte (par défaut)	La règle génère une alerte à chaque exécution, tant que la requête retourne plus de résultats que le seuil d’alerte spécifié au-dessus. Cette alerte unique répertorie tous les événements retournés dans les résultats de la requête.
   Déclencher une alerte pour chaque événement	La règle génère une alerte pour chaque événement renvoyé par la requête. Cela est utile si vous souhaitez que les événements s’affichent individuellement ou si vous souhaitez les regrouper selon certains paramètres—par utilisateur, nom d’hôte ou autre chose. Vous pouvez définir ces paramètres dans la requête.

   Les règles d’analytique peuvent générer jusqu’à 150 alertes. Si l’option Regroupement des événements est définie sur Déclencher une alerte pour chaque événement et que la requête de la règle renvoie plus de 150 événements, les 149 premiers événements génèrent chacun une alerte unique (pour 149 alertes) et la 150e alerte résume l’ensemble des événements renvoyés. En d’autres termes, la 150e alerte correspond à ce qui serait généré si l’option Regroupement des événements avait été définie sur Regrouper tous les événements dans une seule alerte.

8. Supprimez temporairement une règle après la génération d’une alerte.

   Dans la section Suppression, vous pouvez activer le paramètre Arrêter l’exécution de la requête une fois l’alerte générée en choisissant Activé si, une fois que vous recevez une alerte, vous souhaitez interrompre l’exécution de cette règle pendant une période supérieure à l’intervalle d’interrogation. Si vous activez cette option, vous devez affecter au paramètre Arrêter l’exécution de la requête pendant la valeur correspondant à la durée d’arrêt de la requête, à savoir 24 heures au maximum.

9. Simulez les résultats des paramètres de la requête et de la logique.

   Dans la zone Simulation des résultats, sélectionnez Tester avec les données actuelles. Microsoft Sentinel affiche un graphe des résultats (journaux des événements) qui auraient été générés par la requête au cours des 50 dernières exécutions, conformément à la planification actuellement définie. Si vous modifiez la requête, resélectionnez Tester avec les données actuelles pour mettre le graphe à jour. Le graphe montre le nombre de résultats sur la période définie, laquelle est déterminée par les paramètres de la section Planification de la requête.

   Voici à quoi peut ressembler la simulation des résultats pour la requête de la capture d’écran ci-dessus. Le côté gauche est l’affichage par défaut, et le côté droit est ce que vous voyez lorsque vous pointez sur un point dans le temps sur le graphe.

   

   Si vous constatez que votre requête déclenche un trop grand nombre d’alertes ou des alertes trop fréquentes, vous pouvez essayer les paramètres des sections Planification de la requête et Seuil d’alerte et sélectionner à nouveau Tester avec les données actuelles.

10. Sélectionnez Suivant : Paramètres d’incident.

Configurer les paramètres de création d’incident

Sous l’onglet Paramètres des incidents, choisissez si Microsoft Sentinel doit convertir les alertes en incidents exploitables, et si et comment les alertes doivent être regroupées en incidents.

1. Activez la création d’incident.

   Dans la section Paramètres des incidents, le paramètre Créer des incidents à partir d’alertes déclenchées par cette règle analytique est Activé par défaut, ce qui signifie que Microsoft Sentinel crée un incident distinct à partir de chaque alerte déclenchée par la règle.

   • Si vous ne souhaitez pas que cette règle entraîne la création d’incidents (par exemple, si cette règle vise uniquement à collecter des informations pour une analyse future), affectez-lui la valeur Désactivé.

     Important

     Si vous avez intégré Microsoft Sentinel à la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender et que cette règle interroge et crée des alertes à partir de sources Microsoft 365 ou Microsoft Defender, vous devez définir ce paramètre sur Désactivé.

   • Si vous souhaitez créer un incident unique à partir d'un groupe d'alertes, au lieu d'en créer un seul par alerte, consultez la section suivante.

2. Définissez les paramètres de regroupement d’événements.

   Dans la section Regroupement des alertes, si vous souhaitez qu’un seul incident soit généré à partir d’un groupe de jusqu’à 150 alertes similaires ou récurrentes, définissez l’option Regrouper les alertes déclenchées par cette règle analytique en un seul incident par sur Activé, puis définissez les paramètres suivants.

   1. Limiter le groupe aux alertes créées dans la période de temps sélectionnée : Déterminez le délai d’exécution dans lequel les alertes similaires ou récurrentes vont être regroupées. Toutes les alertes correspondantes dans ce délai d’exécution génèrent collectivement un incident ou un ensemble d’incidents (en fonction des paramètres de regroupement ci-dessous). Les alertes situées en dehors de ce délai d’exécution génèrent un incident ou un ensemble d’incidents distinct.

   2. Regrouper les alertes déclenchées par cette règle analytique en un seul incident par : Choisissez la base sur laquelle les alertes sont regroupées :

      Option	Description
      Regrouper les alertes en un seul incident si toutes les entités correspondent	Les alertes sont regroupées si elles partagent des valeurs identiques pour chacune des entités mappées (spécifiées sous l’onglet Définir la logique de la règle ci-dessus). Il s'agit du paramètre recommandé.
      Regrouper toutes les alertes déclenchées par cette règle en un seul incident	Toutes les alertes générées par cette règle sont regroupées même si elles ne partagent pas de valeurs identiques.
      Regrouper les alertes en un seul incident si les entités et les détails sélectionnés correspondent	Les alertes sont regroupées si elles partagent des valeurs identiques pour toutes les entités mappées, les détails d’alerte et les détails personnalisés, sélectionnés dans les listes déroulantes respectives. Vous pouvez utiliser ce paramètre si vous souhaitez, par exemple, créer des incidents distincts en fonction des adresses IP source ou cible, ou si vous préférez regrouper des alertes qui correspondent à une entité et une gravité particulières. Remarque : Lorsque vous sélectionnez cette option, vous devez avoir au moins un champ ou un type d’entité sélectionné pour la règle. Dans le cas contraire, la validation de la règle échoue et la règle n’est pas créée.

   3. Rouvrir les incidents correspondants fermés : Si un incident a été résolu et fermé et que, par la suite, une autre alerte est générée, qui devrait être associée à cet incident, définissez ce paramètre sur Activé si vous voulez que l’incident fermé soit rouvert, ou laissez-le défini sur Désactivé si vous voulez que l’alerte crée un autre incident.

   Notes

   150 alertes peuvent être regroupées au sein d'un même incident.

   • L’incident n’est créé qu’une fois que toutes les alertes ont été générées. Toutes les alertes seront ajoutées à l’incident immédiatement après sa création.

   • Si plus de 150 alertes sont générées par une règle qui les regroupe dans un incident unique, un nouvel incident est généré avec les mêmes détails que l’incident d’origine, et les alertes excédentaires sont regroupées dans le nouvel incident.

3. Sélectionnez Suivant : Réponse automatisée.

   Azure portal

   

   Portail Defender

   

Définir des réponses automatisées et créer la règle

Dans l’onglet Réponses automatisées, vous pouvez utiliser des règles d’automatisation pour définir des réponses automatisées afin qu’elles se produisent lors de l’un des trois types d’occasions :

• Lorsqu’une alerte est générée par cette règle d’analytique.
• Lorsqu’un incident est créé à partir d’alertes générées avec cette règle d’analytique.
• Lorsqu’un incident est mis à jour avec des alertes générées par cette règle d’analytique.

La grille affichée sous Règles d’automatisation affiche les règles d’automatisation qui s’appliquent déjà à cette règle d’analyse (en vertu de celle-ci répondant aux conditions définies dans ces règles). Vous pouvez modifier l’un de ces éléments en sélectionnant le nom de la règle ou les points de suspension à la fin de chaque ligne. Vous pouvez aussi sélectionner Ajouter nouveau pour créer une règle d’automatisation.

Utilisez des règles d’automatisation pour effectuer le triage de base, l’affectation, le flux de travail et la fermeture des incidents.

Automatisez des tâches plus complexes et appelez des réponses de systèmes distants pour corriger les menaces en appelant des playbooks à partir de ces règles d’automatisation. Vous pouvez appeler les guides opérationnels pour les incidents et les alertes individuelles.

• Pour plus d’informations et pour obtenir des instructions sur la création de playbooks et de règles d’automatisation, consultez Automatisation des réponses aux menaces.

• Pour plus d’informations sur les cas où il convient d’utiliser le déclencheur créé d’alerte, le déclencheur mis à jour d’incident ou le déclencheur créé d’alerte, consultez Utiliser des déclencheurs et actions dans les playbooks Microsoft Sentinel.

Azure portal

Portail Defender

• Sous Automatisation des alertes (classique) en bas de l’écran, vous verrez tous les playbooks que vous avez configurés pour qu’ils s’exécutent automatiquement lorsqu’une alerte est générée à l’aide de l’ancienne méthode.

  • Depuis juin 2023, vous ne pouvez plus ajouter de playbooks à cette liste. Les guides opérationnels déjà répertoriés ici vont continuer à s’exécuter jusqu’à ce que cette méthode soit déconseillée, à compter de mars 2026.

  • Si vous en avez encore des guides opérationnels répertoriés ici, vous devez plutôt créer une règle d’automatisation basée sur le déclencheur d’alerte créé et appeler le guide opérationnel à partir de la règle d’automatisation. Une fois cette opération terminée, sélectionnez les points de suspension à la fin de la ligne du playbook répertorié ici, puis Supprimer. Pour obtenir des instructions complètes, consultez Migrer vos playbooks déclencheurs d’alerte Microsoft Sentinel vers des règles d’automatisation.

Sélectionnez Suivant : Examiner et créer pour examiner tous les paramètres de votre nouvelle règle d’analytique. Lorsque le message « Validation réussie » s’affiche, sélectionnez Créer.

Azure portal

Portail Defender

Afficher la règle et sa sortie

Affichez la définition de la règle :

• Vous trouverez la règle personnalisée (de type « Planifiée ») que vous venez de créer dans le tableau situé sous l'onglet Règles actives de l'écran Analytique principal. Dans cette liste, vous pouvez activer, désactiver ou supprimer chaque règle.

Affichez les résultats de la règle :

Azure portal

• Pour afficher les résultats de vos règles d’analytique créées dans le portail Azure, accédez à la page Incidents. Vous pouvez ensuite trier ces incidents, les examiner et corriger les menaces.

Portail Defender

• Pour afficher les résultats de vos règles d’analytique créées dans le portail Defender, développez Investigation et réponse dans le menu de navigation, puis Incidents et alertes. Affichez les incidents dans la page Incidents. Vous pouvez ensuite trier ces incidents, les examiner et corriger les menaces. Affichez des alertes individuelles dans la page Alertes.

Adaptez la règle :

• Vous pouvez mettre à jour la requête de règle pour exclure les faux positifs. Pour plus d’informations, consultez Gérer les faux positifs dans Microsoft Sentinel.

Notes

Les alertes générées dans Microsoft Sentinel sont disponibles via Microsoft Graph Security. Pour plus d’informations, consultez la documentation sur les alertes Microsoft Graph Security.

Exporter la règle vers un modèle ARM

Si vous souhaitez empaqueter votre règle pour qu’elle soit gérée et déployée comme code, vous pouvez facilement Exporter la règle vers un modèle Azure Resource Manager (ARM). Vous pouvez également importer des règles à partir de fichiers modèles afin de les afficher et de les modifier dans l’interface utilisateur.

Étapes suivantes

Lorsque vous utilisez des règles d’analytique pour détecter les menaces de Microsoft Sentinel, veillez à activer toutes les règles associées à vos sources de données connectées pour garantir une couverture de sécurité complète pour votre environnement.

Pour automatiser l’activation des règles, envoyez des règles à Microsoft Sentinel via d’API et PowerShell, même si cela nécessite des efforts supplémentaires. Lorsque vous utilisez l’API ou PowerShell, vous devez d’abord exporter les règles vers JSON avant de les activer. L’API ou PowerShell peuvent être utiles lors de l’activation de règles dans plusieurs instances de Microsoft Sentinel avec des paramètres identiques dans chaque instance.

Pour plus d’informations, consultez l’article suivant :

• Résoudre les problèmes liés aux règles d’analytique dans Microsoft Sentinel
• Naviguer et examiner les incidents dans Microsoft Sentinel
• Entités dans Microsoft Sentinel
• Didacticiel : utiliser des règles d’automatisation dans Microsoft Sentinel

De même, apprenez à partir de l’exemple comment utiliser les règles d’analytique lors de la supervision Zoom avec un connecteur personnalisé.