Créer et gérer des règles de détection personnaliséesCreate and manage custom detections rules

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique à :Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender
  • Microsoft Defender pour point de terminaisonMicrosoft Defender for Endpoint

Les règles de détection personnalisées sont des règles que vous pouvez concevoir et modifier à l'aide de requêtes de repérage avancé.Custom detection rules are rules you can design and tweak using advanced hunting queries. Ces règles vous permet de surveiller de manière proactive différents événements et états système, y compris les activités suspectées de violation et les points de terminaison mal configurés.These rules let you proactively monitor various events and system states, including suspected breach activity and misconfigured endpoints. Vous pouvez les configurer pour qu'ils s'exécutent à intervalles réguliers, générant des alertes et prenant des mesures de réponse chaque fois qu'il existe des correspondances.You can set them to run at regular intervals, generating alerts and taking response actions whenever there are matches.

Autorisations requises pour la gestion des détections personnaliséesRequired permissions for managing custom detections

Pour gérer les détections personnalisées, vous devez avoir l'un des rôles ci-après :To manage custom detections, you need to be assigned one of these roles:

  • Administrateur de sécurité: les utilisateurs ayant ce rôle Azure Active Directory peuvent gérer les paramètres de sécurité dans le Centre de sécurité Microsoft 365 et d'autres portails et services.Security administrator—Users with this Azure Active Directory role can manage security settings in Microsoft 365 security center and other portals and services.

  • Opérateur de sécurité : les utilisateurs dotés de ce rôle Azure Active Directory peuvent gérer les alertes et ont un accès global en lecture seule aux fonctionnalités liées à la sécurité, y compris à toutes les informations du Centre de sécurité Microsoft 365.Security operator—Users with this Azure Active Directory role can manage alerts and have global read-only access to security-related features, including all information in Microsoft 365 security center. Ce rôle est suffisant pour la gestion des détections personnalisées uniquement si le contrôle d'accès basé sur un rôle (RBAC) est désactivé dans Microsoft Defender pour point de terminaison.This role is sufficient for managing custom detections only if role-based access control (RBAC) is turned off in Microsoft Defender for Endpoint. Si vous avez configuré RBAC, vous avez également besoin de l'autorisation gérer les paramètres de sécurité pour Defender for Endpoint.If you have RBAC configured, you also need the manage security settings permission for Defender for Endpoint.

Pour gérer les autorisations requises, un administrateur général peut :To manage required permissions, a global administrator can:

  • Attribuez le rôle d'administrateur de sécurité ou d'opérateur de sécurité dans le Centre d'administration Microsoft 365 sous Administrateur de sécurité des > rôles.Assign the security administrator or security operator role in Microsoft 365 admin center under Roles > Security admin.
  • Vérifiez les paramètres RBAC pour Microsoft Defender pour le point de terminaison dans le Centre de sécurité Microsoft Defender sous > Paramètres Autorisations > Rôles.Check RBAC settings for Microsoft Defender for Endpoint in Microsoft Defender Security Center under Settings > Permissions > Roles. Sélectionnez le rôle correspondant pour attribuer l'autorisation gérer les paramètres de sécurité.Select the corresponding role to assign the manage security settings permission.

Notes

Pour gérer les détections personnalisées, les opérateurs de sécurité auront besoin de l'autorisation gérer les paramètres de sécurité dans Microsoft Defender pour le point de terminaison si le contrôle d'accès en fonction du contrôle d'accès (RBAC) est allumé.To manage custom detections, security operators will need the manage security settings permission in Microsoft Defender for Endpoint if RBAC is turned on.

Créer une règle de détection personnaliséeCreate a custom detection rule

1. Préparez la requête.1. Prepare the query.

Dans le Centre de sécurité Microsoft 365, allez à la recherche avancée et sélectionnez une requête existante ou créez une nouvelle requête.In Microsoft 365 security center, go to Advanced hunting and select an existing query or create a new query. Lorsque vous utilisez une nouvelle requête, exécutez la requête pour identifier les erreurs et comprendre les résultats possibles.When using a new query, run the query to identify errors and understand possible results.

Important

Pour empêcher le service de renvoyer trop d'alertes, chaque règle est limitée à générer seulement 100 alertes chaque fois qu'elle s'exécute.To prevent the service from returning too many alerts, each rule is limited to generating only 100 alerts whenever it runs. Avant de créer une règle, modifiez votre requête afin d'éviter les alertes pour une activité normale au quotidien.Before creating a rule, tweak your query to avoid alerting for normal, day-to-day activity.

Colonnes requises dans les résultats de la requêteRequired columns in the query results

Pour créer une règle de détection personnalisée, la requête doit renvoyer les colonnes suivantes :To create a custom detection rule, the query must return the following columns:

  • Timestamp— utilisé pour définir l'timestamp pour les alertes généréesTimestamp—used to set the timestamp for generated alerts
  • ReportId— active les recherche pour les enregistrements d'origineReportId—enables lookups for the original records
  • Une des colonnes suivantes qui identifient des appareils, des utilisateurs ou des boîtes aux lettres spécifiques :One of the following columns that identify specific devices, users, or mailboxes:
    • DeviceId
    • DeviceName
    • RemoteDeviceName
    • RecipientEmailAddress
    • SenderFromAddress (expéditeur d'enveloppe ou adresse Return-Path'expéditeur)SenderFromAddress (envelope sender or Return-Path address)
    • SenderMailFromAddress (adresse de l'expéditeur affichée par le client de messagerie)SenderMailFromAddress (sender address displayed by email client)
    • RecipientObjectId
    • AccountObjectId
    • AccountSid
    • AccountUpn
    • InitiatingProcessAccountSid
    • InitiatingProcessAccountUpn
    • InitiatingProcessAccountObjectId

Notes

La prise en charge d'entités supplémentaires est ajoutée lorsque de nouvelles tables sont ajoutées au schéma de recherche avancé.Support for additional entities will be added as new tables are added to the advanced hunting schema.

Les requêtes simples, telles que celles qui n'utilisent pas l'opérateur ou l'opérateur pour personnaliser ou agréger des résultats, retournent généralement project summarize ces colonnes courantes.Simple queries, such as those that don't use the project or summarize operator to customize or aggregate results, typically return these common columns.

Il existe plusieurs façons de s'assurer que les requêtes plus complexes retournent ces colonnes.There are various ways to ensure more complex queries return these columns. Par exemple, si vous préférez agréger et compter par entité sous une colonne telle que , vous pouvez toujours renvoyer et en l'obtenant à partir de l'événement le plus récent impliquant DeviceId Timestamp chaque unique ReportId DeviceId .For example, if you prefer to aggregate and count by entity under a column such as DeviceId, you can still return Timestamp and ReportId by getting it from the most recent event involving each unique DeviceId.

L'exemple de requête ci-dessous compte le nombre d'appareils uniques ( ) avec détections antivirus et utilise ce nombre pour rechercher uniquement les appareils avec plus de DeviceId cinq détections.The sample query below counts the number of unique devices (DeviceId) with antivirus detections and uses this count to find only the devices with more than five detections. Pour renvoyer la dernière Timestamp et la ReportId correspondante, elle utilise l'opérateur summarize avec la arg_max fonction.To return the latest Timestamp and the corresponding ReportId, it uses the summarize operator with the arg_max function.

DeviceEvents
| where Timestamp > ago(1d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5

Conseil

Pour de meilleures performances de requête, définissez un filtre d'heure qui correspond à la fréquence d'exécution prévue pour la règle.For better query performance, set a time filter that matches your intended run frequency for the rule. Étant donné que l'utilisation la moins fréquente est toutes les 24 heures, le filtrage de la journée passée couvrira toutes les nouvelles données.Since the least frequent run is every 24 hours, filtering for the past day will cover all new data.

2. Créez une règle et fournissez des détails sur l'alerte.2. Create new rule and provide alert details.

Avec la requête dans l'éditeur de requête, sélectionnez Créer une règle de détection et spécifiez les détails d'alerte suivants :With the query in the query editor, select Create detection rule and specify the following alert details:

  • Nom de la détection: nom de la règle de détectionDetection name—name of the detection rule
  • Fréquence: intervalle d'exécution de la requête et d'action.Frequency—interval for running the query and taking action. Voir les conseils supplémentaires ci-dessousSee additional guidance below
  • Titre de l'alerte: titre affiché avec les alertes déclenchées par la règleAlert title—title displayed with alerts triggered by the rule
  • Gravité : risque potentiel du composant ou de l'activité identifié par la règleSeverity—potential risk of the component or activity identified by the rule
  • Catégorie : composant ou activité de menace identifié par la règleCategory—threat component or activity identified by the rule
  • MITRE ATT&techniques CK: une ou plusieurs techniques d'attaque identifiées par la règle, comme documenté dans l'infrastructure MITRE ATT&CK.MITRE ATT&CK techniques—one or more attack techniques identified by the rule as documented in the MITRE ATT&CK framework. Cette section est masquée pour certaines catégories d'alertes, notamment les programmes malveillants, les ransomware, les activités suspectes et les logiciels indésirablesThis section is hidden for certain alert categories, including malware, ransomware, suspicious activity, and unwanted software
  • Description: plus d'informations sur le composant ou l'activité identifié par la règleDescription—more information about the component or activity identified by the rule
  • Actions recommandées: actions supplémentaires que les répondeurs peuvent prendre en réponse à une alerteRecommended actions—additional actions that responders might take in response to an alert

Fréquence des règlesRule frequency

Lorsque vous enregistrez une nouvelle règle, elle s'exécute et recherche les correspondances des 30 derniers jours de données.When you save a new rule, it runs and checks for matches from the past 30 days of data. La règle s'exécute ensuite à intervalles fixes, en appliquant une durée de recherche en fonction de la fréquence que vous choisissez :The rule then runs again at fixed intervals, applying a lookback duration based on the frequency you choose:

  • Toutes les 24 heures: s'exécute toutes les 24 heures, en vérifiant les données des 30 derniers joursEvery 24 hours—runs every 24 hours, checking data from the past 30 days
  • Toutes les 12 heures: s'exécute toutes les 12 heures, en vérifiant les données des dernières 24 heuresEvery 12 hours—runs every 12 hours, checking data from the past 24 hours
  • Toutes les 3 heures : s'exécute toutes les 3 heures, en vérifiant les données des 6 dernières heuresEvery 3 hours—runs every 3 hours, checking data from the past 6 hours
  • Toutes les heures: s'exécute toutes les heures, en vérifiant les données des dernières 2 heuresEvery hour—runs hourly, checking data from the past 2 hours

Lorsque vous modifiez une règle, elle s'exécute avec les modifications appliquées lors de la prochaine utilisation prévue en fonction de la fréquence que vous avez définie.When you edit a rule, it will run with the applied changes in the next run time scheduled according to the frequency you set.

Conseil

Faire correspondre les filtres d'heure de votre requête à la durée de la recherche.Match the time filters in your query with the lookback duration. Les résultats en dehors de la durée de la recherche sont ignorés.Results outside of the lookback duration are ignored.

Sélectionnez la fréquence qui correspond à la fréquence à laquelle vous souhaitez surveiller les détections.Select the frequency that matches how closely you want to monitor detections. Prenez en compte la capacité de votre organisation à répondre aux alertes.Consider your organization's capacity to respond to the alerts.

3. Choisissez les entités impactées.3. Choose the impacted entities.

Identifiez les colonnes dans les résultats de votre requête où vous vous attendez à trouver l'entité principale affectée ou concernée.Identify the columns in your query results where you expect to find the main affected or impacted entity. Par exemple, une requête peut renvoyer des adresses d'expéditeur ( ou ) et de SenderFromAddress SenderMailFromAddress destinataire ( RecipientEmailAddress ).For example, a query might return sender (SenderFromAddress or SenderMailFromAddress) and recipient (RecipientEmailAddress) addresses. L'identification de l'une de ces colonnes représentant la principale entité concernée permet au service d'agréger les alertes pertinentes, de corréler les incidents et les actions de réponse cible.Identifying which of these columns represent the main impacted entity helps the service aggregate relevant alerts, correlate incidents, and target response actions.

Vous ne pouvez sélectionner qu'une seule colonne pour chaque type d'entité (boîte aux lettres, utilisateur ou appareil).You can select only one column for each entity type (mailbox, user, or device). Les colonnes qui ne sont pas renvoyées par votre requête ne peuvent pas être sélectionnées.Columns that are not returned by your query can't be selected.

4. Spécifiez les actions.4. Specify actions.

Votre règle de détection personnalisée peut prendre automatiquement des mesures sur les appareils, les fichiers ou les utilisateurs renvoyés par la requête.Your custom detection rule can automatically take actions on devices, files, or users that are returned by the query.

Actions sur les appareilsActions on devices

Ces actions sont appliquées aux appareils dans la DeviceId colonne des résultats de la requête :These actions are applied to devices in the DeviceId column of the query results:

Actions sur les fichiersActions on files

Lorsqu'il est sélectionné, vous pouvez choisir d'appliquer l'action de fichier de mise en quarantaine sur les fichiers dans la colonne , , ou dans la colonne des résultats SHA1 de la InitiatingProcessSHA1 SHA256 InitiatingProcessSHA256 requête.When selected, you can choose to apply the Quarantine file action on files in the SHA1, InitiatingProcessSHA1, SHA256, or InitiatingProcessSHA256 column of the query results. Cette action supprime le fichier de son emplacement actuel et place une copie en quarantaine.This action deletes the file from its current location and places a copy in quarantine.

Actions sur les utilisateursActions on users

Lorsqu'il est sélectionné, l'utilisateur Marquer comme étant compromis est pris sur les utilisateurs dans la colonne , ou dans la colonne des résultats AccountObjectId de la InitiatingProcessAccountObjectId RecipientObjectId requête.When selected, the Mark user as compromised action is taken on users in the AccountObjectId, InitiatingProcessAccountObjectId, or RecipientObjectId column of the query results. Cette action définit le niveau de risque des utilisateurs sur « élevé » dans Azure Active Directory, déclenchant les stratégies de protection des identités correspondantes.This action sets the users risk level to "high" in Azure Active Directory, triggering corresponding identity protection policies.

Notes

L'action autoriser ou bloquer les règles de détection personnalisées n'est actuellement pas prise en charge sur Microsoft 365 Defender.The allow or block action for custom detection rules is currently not supported on Microsoft 365 Defender.

5. Définissez l'étendue de la règle.5. Set the rule scope.

Définissez l'étendue pour spécifier les appareils couverts par la règle.Set the scope to specify which devices are covered by the rule. L'étendue influence les règles qui vérifient les appareils et n'affecte pas les règles qui vérifient uniquement les boîtes aux lettres et les comptes d'utilisateurs ou les identités.The scope influences rules that check devices and doesn't affect rules that check only mailboxes and user accounts or identities.

Lors de la définition de l'étendue, vous pouvez sélectionner :When setting the scope, you can select:

  • Tous les appareilsAll devices
  • Groupes d'appareils spécifiquesSpecific device groups

Seules les données des appareils dans l'étendue seront interrogés.Only data from devices in scope will be queried. En outre, des actions seront prises uniquement sur ces appareils.Also, actions will be taken only on those devices.

6. Examinez et allumez la règle.6. Review and turn on the rule.

Après avoir passé en revue la règle, sélectionnez Créer pour l'enregistrer.After reviewing the rule, select Create to save it. La règle de détection personnalisée s'exécute immédiatement.The custom detection rule immediately runs. Il s'exécute à nouveau en fonction de la fréquence configurée pour vérifier les correspondances, générer des alertes et prendre des mesures de réponse.It runs again based on configured frequency to check for matches, generate alerts, and take response actions.

Important

Les détections personnalisées doivent être régulièrement examinées pour plus d'efficacité.Custom detections should be regularly reviewed for efficiency and effectiveness. Pour vous assurer que vous créez des détections qui déclenchent de vraies alertes, prenez le temps de passer en revue vos détections personnalisées existantes en suivant les étapes de la procédure De gestion des règles de détection personnalisées existantes.To make sure you are creating detections that trigger true alerts, take time to review your existing custom detections by following the steps in Manage existing custom detection rules.

Vous conservez le contrôle sur l'étendue ou la spécificité de vos détections personnalisées afin que les fausses alertes générées par les détections personnalisées indiquent la nécessité de modifier certains paramètres des règles.You maintain control over the broadness or specificity of your custom detections so any false alerts generated by custom detections might indicate a need to modify certain parameters of the rules.

Gérer les règles de détection personnalisées existantesManage existing custom detection rules

Vous pouvez afficher la liste des règles de détection personnalisées existantes, vérifier leurs précédentes séries et passer en revue les alertes qu'elles ont déclenchées.You can view the list of existing custom detection rules, check their previous runs, and review the alerts they have triggered. Vous pouvez également exécuter une règle à la demande et la modifier.You can also run a rule on demand and modify it.

Conseil

Les alertes détectées par des détections personnalisées sont disponibles sur les alertes et les API d'incident.Alerts raised by custom detections are available over alerts and incident APIs. Pour plus d'informations, voir API Microsoft 365 Defender pris en charge.For more information, see Supported Microsoft 365 Defender APIs.

Afficher les règles existantesView existing rules

Pour afficher toutes les règles de détection personnalisées existantes, accédez à > Détections personnalisées de repérage.To view all existing custom detection rules, navigate to Hunting > Custom detections. La page répertorie toutes les règles avec les informations d'exécuter suivantes :The page lists all the rules with the following run information:

  • Dernière série: lorsqu'une règle a été exécuté pour la dernière fois pour vérifier les correspondances de requête et générer des alertesLast run—when a rule was last run to check for query matches and generate alerts
  • État de la dernière fois: si une règle s'est correctement exécutéLast run status—whether a rule ran successfully
  • Next run—the next scheduled runNext run—the next scheduled run
  • État: si une règle a été allumée ou désactivéeStatus—whether a rule has been turned on or off

Afficher les détails de la règle, modifier la règle et exécuter la règleView rule details, modify rule, and run rule

Pour afficher des informations complètes sur une règle de détection personnalisée, sélectionnez > détections personnalisées de repérage, puis sélectionnez le nom de la règle.To view comprehensive information about a custom detection rule, go to Hunting > Custom detections and then select the name of rule. Vous pouvez ensuite afficher des informations générales sur la règle, notamment son état d'application et son étendue.You can then view general information about the rule, including information its run status and scope. La page fournit également la liste des alertes et des actions déclenchées.The page also provides the list of triggered alerts and actions.

Page des détails des règles de détection personnaliséesCustom detection rule details page
Détails des règles de détection personnaliséesCustom detection rule details

Vous pouvez également prendre les mesures suivantes sur la règle à partir de cette page :You can also take the following actions on the rule from this page:

  • Exécutez la règle immédiatement.Run—run the rule immediately. Cela réinitialise également l'intervalle pour la prochaine suite.This also resets the interval for the next run.
  • Modifier— modifier la règle sans modifier la requêteEdit—modify the rule without changing the query
  • Modifier la requête — modifier la requête dans le recherche avancéeModify query—edit the query in advanced hunting
  • Activer / Désactiver : activer la règle ou l'arrêter d'être en cours d'exécutionTurn on / Turn off—enable the rule or stop it from running
  • Supprimer: désactiver la règle et la supprimerDelete—turn off the rule and remove it

Afficher et gérer les alertes déclenchéesView and manage triggered alerts

Dans l'écran des détails de la règle (Détections personnalisées de repérage [nom de la règle] ), allez à > > Alertes déclenchées, qui répertorie les alertes générées par des correspondances à la règle.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered alerts, which lists the alerts generated by matches to the rule. Sélectionnez une alerte pour afficher des informations détaillées à son sujet et prenez les mesures suivantes :Select an alert to view detailed information about it and take the following actions:

  • Gérer l'alerte en setting its status and classification (true or false alert)Manage the alert by setting its status and classification (true or false alert)
  • Lier l'alerte à un incidentLink the alert to an incident
  • Exécuter la requête qui a déclenché l'alerte sur le hunting avancéRun the query that triggered the alert on advanced hunting

Examiner les actionsReview actions

Dans l'écran détails de la règle (Détections personnalisées de repérage [nom de la > > règle]), allez à Actions déclenchées , qui répertorie les actions entreprises en fonction des correspondances à la règle.In the rule details screen (Hunting > Custom detections > [Rule name]), go to Triggered actions, which lists the actions taken based on matches to the rule.

Conseil

Pour afficher rapidement des informations et agir sur un élément d'un tableau, utilisez la colonne de sélection [✓] à gauche du tableau.To quickly view information and take action on an item in a table, use the selection column [✓] at the left of the table.

Notes

Certaines colonnes de cet article peuvent ne pas être disponibles dans Microsoft Defender pour endpoint.Some columns in this article might not be available in Microsoft Defender for Endpoint. Activer Microsoft 365 Defender pour qu'il recherche les menaces à l'aide de sources de données plus nombreuses.Turn on Microsoft 365 Defender to hunt for threats using more data sources. Vous pouvez déplacer vos flux de travail de recherche avancée de Microsoft Defender pour point de terminaison vers Microsoft 365 Defender en suivant les étapes de la procédure de migration des requêtes de recherche avancée à partir de Microsoft Defender pour le point de terminaison.You can move your advanced hunting workflows from Microsoft Defender for Endpoint to Microsoft 365 Defender by following the steps in Migrate advanced hunting queries from Microsoft Defender for Endpoint.

Voir aussiSee also