Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Les détections personnalisées constituent désormais le meilleur moyen de créer de nouvelles règles dans Microsoft Sentinel SIEM Microsoft Defender XDR. Les détections personnalisées vous permettent de réduire les coûts d’ingestion, d’obtenir des détections en temps réel illimitées et de bénéficier d’une intégration transparente avec Defender XDR données, fonctions et actions de correction avec le mappage automatique d’entités. Pour plus d’informations, consultez ce blog.
Qu’est-ce que les anomalies personnalisables ?
Avec les attaquants et les défenseurs qui se battent constamment pour tirer parti de la course aux armes de cybersécurité, les attaquants trouvent toujours des moyens d’échapper à la détection. Inévitablement, cependant, les attaques entraînent toujours un comportement inhabituel dans les systèmes attaqués. Les anomalies personnalisées basées sur l'apprentissage automatique de Microsoft Sentinel peuvent identifier ce comportement avec des modèles de règles d'analyse prêts à l'emploi pour une utilisation immédiate. Bien que les anomalies n’indiquent pas nécessairement un comportement malveillant ou même suspect par eux-mêmes, elles peuvent être utilisées pour améliorer les détections, les enquêtes et la chasse aux menaces :
Signaux supplémentaires pour améliorer la détection : les analystes de sécurité peuvent utiliser des anomalies pour détecter de nouvelles menaces et rendre les détections existantes plus efficaces. Une seule anomalie n’est pas un signal fort de comportement malveillant, mais une combinaison de plusieurs anomalies à différents points de la chaîne de destruction envoie un message clair. Les analystes de sécurité peuvent rendre les alertes de détection existantes plus précises en les conditionnant sur l’identification du comportement anormal.
Preuve lors des enquêtes : les analystes de sécurité peuvent également utiliser des anomalies pendant les enquêtes pour vous aider à confirmer une violation, à trouver de nouveaux chemins d’accès pour l’examiner et à évaluer son impact potentiel. Ces gains d’efficacité réduisent le temps consacré aux analystes de sécurité pour les enquêtes.
Début des chasses proactives aux menaces : les chasseurs de menaces peuvent utiliser des anomalies comme contexte pour déterminer si leurs requêtes ont découvert un comportement suspect. Lorsque le comportement est suspect, les anomalies pointent également vers des chemins potentiels pour une chasse plus poussée. Ces indices fournis par les anomalies réduisent le temps de détecter une menace et sa chance de causer des dommages.
Les anomalies peuvent être des outils puissants, mais elles sont notoirement bruyantes. Ils nécessitent généralement un réglage fastidieux pour des environnements spécifiques ou un post-traitement complexe. Les modèles d’anomalies personnalisables sont paramétrés par l’équipe de science des données de Microsoft Sentinel pour fournir une valeur prête à l’emploi. Si vous devez les régler davantage, le processus est simple et ne nécessite aucune connaissance du Machine Learning. Les seuils et paramètres de la plupart des anomalies peuvent être configurés et affinés via l’interface utilisateur de règle d’analyse déjà familière. Les performances du seuil et des paramètres d’origine peuvent être comparés aux nouveaux au sein de l’interface et paramétrés en fonction des besoins lors d’un test ou d’une phase de vol. Une fois que l’anomalie atteint les objectifs de performances, l’anomalie avec le nouveau seuil ou les paramètres peut être promue en production avec le clic d’un bouton. Les anomalies personnalisables de Microsoft Sentinel vous permettent d’obtenir l’avantage de la détection des anomalies sans le travail difficile.
Anomalies UEBA
Certaines des détections d’anomalies de Microsoft Sentinel proviennent de son moteur UEBA (User and Entity Behavior Analytics), qui détecte les anomalies en fonction du comportement historique de référence de chaque entité dans différents environnements. Le comportement de base de chaque entité est défini selon ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble. Les anomalies peuvent être déclenchées par la corrélation de différents attributs tels que le type d’action, l’emplacement géographique, l’appareil, la ressource, le fournisseur de services Internet et bien plus encore.
Étapes suivantes
Dans ce document, vous avez appris à tirer parti des anomalies personnalisables dans Microsoft Sentinel.
- Découvrez comment afficher, créer, gérer et affiner les règles d’anomalie.
- Découvrez-en plus sur l’analytique du comportement des utilisateurs et des entités (UEBA).
- Consultez la liste des anomalies actuellement prises en charge.
- Découvrez d’autres types de règles d’analytique.