Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
- La personnalisation de l’activité est en PREVIEW. Consultez les conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour obtenir des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
- À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux utilisateurs sont également automatiquement intégrés et redirigés à partir du portail Azure vers le portail Defender. Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez C'est le moment de déménager : le retrait du portail Azure de Microsoft Sentinel pour une plus grande sécurité.
Présentation
En plus des activités suivies et présentées dans la chronologie par Microsoft Sentinel sans configuration supplémentaire, vous pouvez créer toutes autres activités dont vous souhaitez effectuer le suivi et les présenter également sur la chronologie. Vous pouvez créer des activités personnalisées basées sur des requêtes de données d’entité à partir de toutes les sources de données connectées. Les exemples suivants illustrent la façon dont vous pouvez utiliser cette fonctionnalité :
Ajoutez de nouvelles activités à la chronologie de l’entité en modifiant les modèles d’activité prêts à l’emploi existants.
Ajoutez de nouvelles activités à partir de journaux personnalisés. Par exemple, à partir d’un journal de contrôle d’accès physique, vous pouvez ajouter les activités d’entrée et de sortie d’un utilisateur pour une zone restreinte particulière (par exemple, une salle de serveur) à la chronologie de l’utilisateur.
Prise en main
- Les utilisateurs de Microsoft Sentinel dans le portail Azure, sélectionnez l’onglet Portail Azure ci-dessous.
- Les utilisateurs du portail Microsoft Defender, sélectionnez l’onglet Portail Defender .
Dans le menu de navigation Microsoft Sentinel, sélectionnez Comportement de l’entité.
Dans la page Comportement de l’entité, sélectionnez Personnaliser la page d’entité (préversion) en haut de l’écran.
Dans la page Personnaliser les activités Sentinel , vous verrez une liste des activités que vous avez créées dans l’onglet Mes activités . Sous l’onglet Modèles d’activité, vous verrez la collection d’activités proposées par les chercheurs en sécurité Microsoft. Ce sont les activités qui font déjà l’objet d’un suivi et qui sont affichées dans les chronologies de vos pages d’entité.
Tant que vous n’avez pas créé d’activités définies par l’utilisateur, vos pages d’entité affichent toutes les activités répertoriées sous l’onglet Modèles d’activité .
Une fois que vous avez créé ou personnalisé une activité, vos pages d’entité affichent uniquement ces activités, qui apparaissent sous l’onglet Mes activités .
Si vous souhaitez continuer à voir les activités prêtes à l’emploi dans vos pages d’entité, vous devez créer une activité pour chaque modèle à suivre et afficher. Suivez les instructions de la section « Créer une activité à partir d’un modèle » ci-dessous.
Créer une activité à partir d’un modèle
Sélectionnez l’onglet Modèles d’activité pour afficher les différentes activités disponibles par défaut. Vous pouvez filtrer la liste par type d’entité et par source de données. Lorsque vous sélectionnez une activité dans la liste, les renseignements suivants s’affichent dans le volet d’informations :
Une description de l’activité
La source de données qui fournit les événements qui composent l’activité
Les identificateurs utilisés pour identifier l’entité dans les données brutes
La requête qui entraîne la détection de cette activité
Sélectionnez Créer une activité en bas du volet d’informations pour démarrer l’Assistant Création d’activité.
Assistant Activité : créer une activité à partir du modèle s’ouvre, avec ses champs déjà remplis à partir du modèle. Vous pouvez apporter des modifications comme vous le souhaitez dans les onglets Configuration générale et Activité, ou laisser tout tel quel pour continuer à afficher l'activité par défaut.
Lorsque vous êtes satisfait, sélectionnez l’onglet Vérifier et créer . Lorsque vous voyez le message de validation passé , cliquez sur le bouton Créer en bas.
Créer une activité à partir de zéro
En haut de la page des activités, cliquez sur Ajouter une activité pour démarrer l’Assistant Création d’activité.
L'assistant d'activité - Créer une nouvelle activité s'ouvrira, avec ses champs vides.
Onglet Général
Entrez un nom pour votre activité (exemple : « Utilisateur ajouté au groupe »).
Entrez une description de l’activité (exemple : « Modification de l’appartenance au groupe d’utilisateurs basée sur l’ID d’événement Windows 4728 »).
Sélectionnez le type d’entité (utilisateur ou hôte) que cette requête doit suivre.
Vous pouvez filtrer par paramètres supplémentaires pour affiner la requête et optimiser ses performances. Par exemple, vous pouvez filtrer pour les utilisateurs Active Directory en choisissant le paramètre IsDomainJoined et en définissant la valeur sur True.
Vous pouvez sélectionner l’état initial de l’activité sur Activé ou Désactivé.
Sélectionnez Suivant : Configuration de l’activité pour passer à l’onglet suivant.
Onglet Configuration de l’activité
Écriture de la requête d’activité
Ici, vous allez écrire ou coller la requête KQL qui sera utilisée pour détecter l’activité de l’entité choisie, et déterminer comment elle sera représentée dans la chronologie.
Important
Nous vous recommandons d’utiliser un analyseur ASIM (Advanced Security Information Model) et non une table intégrée. Cela garantit la prise en charge par la requête de toutes les sources de données pertinentes actuelles ou futures au lieu d’une seule source de données.
Pour mettre en corrélation les événements et détecter l’activité personnalisée, KQL requiert une entrée de plusieurs paramètres, selon le type d’entité. Les paramètres sont les différents identificateurs de l’entité en question.
Il est préférable de sélectionner un identificateur fort afin d’avoir un mappage un-à-un entre les résultats de la requête et l’entité. La sélection d’un identificateur faible peut générer des résultats inexacts. En savoir plus sur les entités et les identificateurs forts et faibles.
Le tableau suivant fournit des informations sur les identifiants des entités.
Identificateurs forts pour les entités de compte et d’hôte
Au moins un identifiant est requis dans une requête.
| Entité | Identificateur | Descriptif |
|---|---|---|
| Compte | Account_Sid (identifiant de compte) | SID local du compte dans Active Directory |
| Account_AadUserId | ID d’objet Microsoft Entra de l’utilisateur dans Microsoft Entra ID | |
| Account_Name + Account_NTDomain | Semblable à SamAccountName (exemple : Contoso\Joe) | |
| Account_Name + Account_UPNSuffix | Semblable à UserPrincipalName (exemple : Joe@Contoso.com ) | |
| Hôte | Host_HostName + Host_NTDomain | similaire au nom de domaine complet (FQDN) |
| Host_HostName + Host_DnsDomain | similaire au nom de domaine complet (FQDN) | |
| Host_NetBiosName + Host_NTDomain | similaire au nom de domaine complet (FQDN) | |
| Host_NetBiosName + Host_DnsDomain | similaire au nom de domaine complet (FQDN) | |
| Host_AzureID | l’ID d’objet Microsoft Entra de l’hôte dans Microsoft Entra ID (si le domaine Microsoft Entra est joint) | |
| Host_OMSAgentID | ID de l’agent OMS de l’agent installé sur un ordinateur hôte spécifique (unique par hôte) |
En fonction de l’entité sélectionnée, vous verrez les identificateurs disponibles. En cliquant sur les identificateurs appropriés, vous collez l’identificateur dans la requête, à l’emplacement du curseur.
Remarque
La requête peut contenir jusqu’à 10 champs. Vous devez donc projeter les champs souhaités.
Les champs projetés doivent inclure le champ TimeGenerated afin de placer l’activité détectée dans la chronologie de l’entité.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
Présentation de l’activité dans la chronologie
Par souci pratique, vous pouvez déterminer comment l’activité est présentée dans la chronologie en ajoutant des paramètres dynamiques à la sortie de l’activité.
Microsoft Sentinel fournit des paramètres intégrés que vous pouvez utiliser. Vous pouvez également en utiliser d’autres en fonction des champs que vous avez projetés dans la requête.
Utilisez le format suivant pour vos paramètres : {{ParameterName}}
Une fois la requête d'activité validée et que le lien Afficher les résultats de la requête apparaît sous la fenêtre de requête, vous pourrez étendre la section Valeurs disponibles pour voir les paramètres que vous pouvez utiliser lors de la création d'un titre d'activité dynamique.
Sélectionnez l’icône Copier en regard d’un paramètre spécifique pour copier ce paramètre dans le Presse-papiers afin de pouvoir le coller dans le champ Titre de l’activité ci-dessus.
Ajoutez l’un des paramètres suivants à votre requête :
Tout champ que vous projetez dans la requête.
Identificateurs de toutes les entités mentionnées dans la requête.
StartTimeUTC, pour ajouter l’heure de début de l’activité, en heure UTC.EndTimeUTC, pour ajouter l’heure de fin de l’activité, en heure UTC.Count, pour résumer plusieurs sorties de requête KQL en une seule sortie.Le paramètre
countajoute la commande suivante à votre requête en arrière-plan, même si elle ne s’affiche pas entièrement dans l’éditeur :Summarize count() by <each parameter you’ve projected in the activity>Ensuite, lorsque vous utilisez le filtre Taille du compartiment dans les pages d’entité, la commande suivante est également ajoutée à la requête exécutée en arrière-plan :
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
Exemple :
Lorsque vous êtes satisfait de votre requête et de votre titre d’activité, sélectionnez Suivant : Vérifier.
Consultez plus d’informations sur les éléments suivants utilisés dans les exemples précédents dans la documentation Kusto :
Pour plus d’informations sur KQL, consultez la vue d’ensemble du langage de requête Kusto (KQL).
Autres ressources :
Onglet Vérifier et créer
Vérifiez toutes les informations de configuration de votre activité personnalisée.
Lorsque le message de validation transmis s’affiche, cliquez sur Créer pour créer l’activité. Vous pouvez le modifier ou le modifier ultérieurement dans l’onglet Mes activités .
Gérer vos activités
Gérez vos activités personnalisées à partir de l’onglet Mes activités . Cliquez sur les points de suspension (...) à la fin de la ligne d’une activité pour :
- Modifier l’activité.
- Dupliquer l’activité pour en créer une nouvelle, légèrement différente.
- Supprimer l’activité.
- Désactiver l’activité (sans la supprimer).
Afficher les activités dans une page d’entité
Chaque fois que vous entrez sur une page d’entité, toutes les requêtes d’activité activées pour cette entité s’exécutent, ce qui vous permet d’obtenir des informations à la minute près dans la chronologie de l’entité. Vous verrez les activités dans la chronologie, en même temps que les alertes et les signets.
Vous pouvez utiliser le filtre de contenu chronologie pour présenter uniquement les activités (ou toute combinaison d’activités, d’alertes et de signets).
Vous pouvez également utiliser le filtre Activités pour présenter ou masquer des activités spécifiques.
Étapes suivantes
Dans ce document, vous avez appris à créer des activités personnalisées pour vos chronologies de page d’entité. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :
- Obtenez l’image complète sur les pages d’entité.
- Découvrez-en plus sur l’analytique du comportement des utilisateurs et des entités (UEBA).
- Consultez la liste complète des entités et des identificateurs.