Partager via

Surveiller et optimiser l’exécution de vos règles d’analyse planifiées

  • Article

Pour vous assurer que la détection des menaces de Microsoft Sentinel offre une couverture complète dans votre environnement, tirez parti de ses outils de gestion de l’exécution. Ces outils se composent d’aperçus sur l’exécution de vos règles d’analytique planifiées, basées sur les données d’intégrité et d’audit de Microsoft Sentinel, et d’une fonctionnalité permettant de réexécuter manuellement les exécutions précédentes de règles sur des fenêtres de temps spécifiques, à des fins de test et / ou de résolution des problèmes.

Important

Les informations sur les règles d’analyse de Microsoft Sentinel et la réexécution manuelle sont actuellement en PRÉVERSION. Consultez l’Avenant aux conditions d’utilisation pour les préversions de Microsoft Azure pour connaître les conditions juridiques supplémentaires s’appliquant aux fonctionnalités Azure sont en version bêta, en préversion ou non encore en disponibilité générale.

Résumé

Il existe deux outils de gestion de l’exécution pour les règles d’analytique planifiée : les aperçus de règles planifiées intégrés et la possibilité de réexécuter des règles planifiées à la demande.

Dans la page Analytics, le panneau Aperçus s’affiche sous la forme d’un autre onglet dans le volet d’informations, à côté de l’onglet Informations. Le panneau Aperçus fournit des informations sur l’activité et les résultats d’une règle. Par exemple : les exécutions ayant échoué, les principaux problèmes d’intégrité, le nombre d’alertes au fil du temps et les classifications de fermeture des incidents créés par la règle. Ces aperçus aident vos analystes de sécurité à identifier les problèmes potentiels ou les erreurs de configuration avec les règles d’analytique, et leur permettent de découvrir et de corriger les défaillances de règles et d’optimiser les configurations de règles pour améliorer les performances et la précision.

Dans la page Analytics également, vous avez la possibilité de réexécuter des règles d’analyse à la demande. Cette fonctionnalité offre de la flexibilité et du contrôle dans la validation de l’efficacité des règles. Il peut être utile dans des scénarios tels que l’affinement des règles, les tests, la validation, etc. Avoir la flexibilité nécessaire pour lancer des réexécutions manuelles peut permettre la prise en charge d’opérations de sécurité efficaces, permettre une réponse efficace aux incidents et améliorer les fonctionnalités globales de détection et de réponse du système.

Cas d’usage et avantages de la réexécution de règle

Voici quelques scénarios qui peuvent tirer parti de la relecture d’exécutions spécifiques de règles d’analytique :

Affinement et réglage des règles : Les règles d’analytique peuvent nécessiter des ajustements périodiques et des réglages précis en fonction de l’évolution du paysage des menaces et des besoins de changements de l’organisation. En réexécutant manuellement des règles, vos analystes peuvent évaluer l’impact des modifications de règle et valider leur efficacité avant de les déployer dans un environnement de production.

Test et validation : Lorsque vous introduisez de nouvelles règles d’analyse, apportez des modifications significatives à des règles existantes ou développez de nouveaux playbooks d’incident, il est essentiel de tester avec exactitude leurs performances et leur précision. Le réexécution manuelle vous permet de simuler différents scénarios, notamment le flux d’incidents automatisé de bout en bout, et de valider les règles par rapport à un ensemble cohérent d’entrées de données. Ce processus garantit que les règles génèrent les alertes attendues sans produire d’excessifs faux positifs.

Enquête sur les incidents : En cas d’incident de sécurité ou d’activité suspecte, vos analystes peuvent souhaiter afficher des détails supplémentaires dans les alertes déjà générées. Pour ce faire, ils peuvent mettre à jour la règle et la réexécuter à des intervalles d’exécution spécifiques (jusqu’à sept jours) pour collecter des informations supplémentaires et identifier les événements associés. Le réexécution manuelle permet à vos analystes d’effectuer des investigations approfondies et permet d’assurer une couverture complète.

Conformité et audit : Certaines exigences réglementaires ou stratégies internes peuvent nécessiter le réexécution de règles d’analyse périodiquement ou à la demande pour démontrer la surveillance et la conformité continues. Le réexécution manuelle permet de respecter ces obligations en veillant à ce que les règles soient appliquées de manière cohérente et génèrent des alertes appropriées.

Prérequis

Pour utiliser les outils de gestion de l’exécution, vous devez avoir activé la fonctionnalité d’intégrité et d’audit de Microsoft Sentinel, et en particulier la surveillance de l’intégrité des règles d’analytique. Découvrez comment activer l’intégrité et l’audit.

Afficher les aperçus des règles d’analytique

Pour tirer parti de ces outils, commencez par examiner les aperçus sur une règle donnée.

  1. Dans le menu de navigation de Microsoft Sentinel, sélectionnez Analyse.

  2. Recherchez et sélectionnez une règle (planifiée ou NRT) dont vous souhaitez voir les aperçus.

  3. Sélectionnez l’onglet Aperçus dans le volet de résultats.

    Capture d'écran de la sélection d'une règle d'analyse.

  4. Lorsque vous sélectionnez l’onglet Aperçus, le sélecteur de période s’affiche. Sélectionnez une période ou laissez-la comme période par défaut des dernières 24 heures.

    Capture d’écran du sélecteur de période sur la page Analytics.

Le panneau Aperçus affiche actuellement quatre types d’aperçus. Chaque aperçu est suivi d’un lien Afficher tout qui vous dirige vers la page Journaux et affiche la requête qui a produit l’aperçu, ainsi que les résultats bruts complets. Voici les aperçus :

  • Les exécutions ayant échoué affichent la liste des exécutions ayant échoué de cette règle dans la période donnée. Cet aperçu est également suivi d’un lien vers le panneau Exécutions de la règle, où vous pouvez voir une liste de toutes les fois où la règle s’est exécutée, et vous pouvez relire des exécutions spécifiques de la règle.

  • Les principaux problèmes d’intégrité affichent une liste des problèmes d’intégrité les plus courants pour cette règle pendant la période donnée. Cet aperçu est également suivi d’un lien Afficher les exécutions qui vous dirige vers la page Journaux d’activité où vous verrez une requête de toutes les fois que cette règle s’est exécutée.

  • Le graphique des alertes montre un graphique du nombre d’alertes générées par cette règle dans la période donnée.

  • La classification des incidents affiche un résumé de la classification des incidents fermés créés par cette règle pendant la période donnée.

Réexécutez les règles analytiques

Plusieurs scénarios peuvent vous amener à réexécuter une règle.

  • Une règle n’a pas pu s’exécuter en raison d’une condition temporaire qui est revenue à la normale ou en raison d’une configuration incorrecte. Après avoir corrigé la configuration incorrecte ou réparé la condition, vous souhaiterez réexécuter la règle dans la même fenêtre de temps (c’est-à-dire sur les mêmes données) que l’exécution qui a échoué, pour atténuer les lacunes dans la couverture.

  • Une règle a réussi à s’exécuter, mais n’a pas fourni suffisamment d’informations dans les alertes qu’elle a générées. Dans ce cas, vous pouvez modifier la règle pour fournir plus d’informations, que ce soit en modifiant la requête ou les paramètres d’enrichissement. Vous souhaiterez ensuite réexécuter la règle dans la même fenêtre de temps (c’est-à-dire sur les mêmes données) que l’exécution pour laquelle vous souhaitez obtenir plus d’informations.

  • Vous expérimentez peut-être l’écriture ou la modification d’une règle et souhaitez voir comment différents paramètres affectent les alertes générées par la règle. Pour une comparaison valide, vous souhaitez réexécuter la règle dans la même fenêtre de temps.

Voici comment réexécuter une règle :

  1. Dans la page Analytics , sélectionnez Exécutions de règles (préversion) dans la barre d’outils située en haut. Le panneau Exécutions des règles s’ouvre.

    Capture d’écran montrant comment accéder au panneau d’exécution des règles.

    Vous pouvez également accéder au panneau Exécutions des règles en sélectionnant Réexécuter les règles dans l’affichage Exécutions ayant échoué sous l’onglet Aperçus (voir ci-dessus).

    Capture d’écran du panneau d’exécution des règles.

  2. Sélectionnez les exécutions de règle que vous souhaitez relire, en fonction de la fenêtre de temps dans laquelle elles ont été exécutées à l’origine, comme indiqué dans la colonne Durée d’exécution. Vous pouvez choisir plusieurs exécutions de règles.

    Capture d’écran montrant comment choisir de réexécuter des règles.

  3. Sélectionnez Relire l’exécution. Les notifications s’affichent pour indiquer la progression des demandes et que les règles ont été mises en file d’attente pour l’exécution.

    Capture d’écran des notifications d’exécution des règles.

  4. Sélectionnez Refresh pour afficher l’état mis à jour de l’exécution des règles. Vous verrez que vos demandes s’affichent parmi celles-ci, avec un statut en cours (elle s’affichera finalement comme Réussite) et un type de déclencheur utilisateur par opposition au déclenché par le système.

    Capture d’écran de la progression de la réexécution de la règle.

    Vous remarquerez également que l’heure d’exécution de vos réexécutions requises est identique à l’exécution d’origine déclenchée par le système, et non pas l’heure d’exécution de votre réexécution. Il s’agit de vous montrer la fenêtre de temps à laquelle votre réexécution fait référence.

    Vous pouvez uniquement relire les exécutions de règles déclenchées par le système, et non celles déclenchées par l’utilisateur.

Sélectionnez Afficher les détails complets à la fin de la ligne d’une exécution de règle pour afficher ses détails bruts complets dans l’écran Journaux .

Étapes suivantes