Partager via

Obtenir des recommandations de réglage précis pour vos règles d’analyse dans Microsoft Sentinel

Important

La détection personnalisée est désormais la meilleure façon de créer de nouvelles règles pour Microsoft Sentinel SIEM et Microsoft Defender XDR. Grâce aux détections personnalisées, vous pouvez réduire les coûts d'ingestion, obtenir des détections en temps réel illimitées et bénéficier d'une intégration transparente avec les données, les fonctions et les actions de correction de Defender XDR grâce au mappage automatique des entités. Pour plus d'informations, consultez ce blog.

Important

Le réglage de la détection est actuellement en préversion. Consultez les conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour obtenir des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.

L’optimisation des règles de détection des menaces dans votre SIEM peut être un processus difficile, délicat et continu d’équilibrage entre optimiser votre couverture de détection des menaces et réduire les taux de faux positifs. Microsoft Sentinel simplifie et simplifie ce processus en utilisant le Machine Learning pour analyser des milliards de signaux provenant de vos sources de données, ainsi que vos réponses aux incidents au fil du temps, déduire des modèles et vous fournir des recommandations et des insights exploitables qui peuvent réduire considérablement votre surcharge de réglage et vous permettre de vous concentrer sur la détection et la réponse aux menaces réelles.

Les recommandations et les aperçus de paramétrage sont désormais intégrés dans vos règles d’analyse. Cet article explique ce que ces insights montrent et comment vous pouvez implémenter les recommandations.

Afficher les informations sur les règles et les recommandations de réglage

Pour voir si Microsoft Sentinel contient des recommandations de réglage pour l’une de vos règles d’analyse, sélectionnez Analytics dans le menu de navigation Microsoft Sentinel.

Toutes les règles qui ont des recommandations affichent une icône d’ampoule, comme illustré ici :

Capture d’écran de la liste des règles d’analyse avec indicateur de recommandation.

Modifiez la règle pour afficher les recommandations ainsi que les autres insights. Ils s’affichent ensemble sous l’onglet Définir la logique de règle de l’Assistant Règle d’analyse, sous l'onglet Simulation des résultats.

Capture d'écran des informations de réglage dans la règle d'analyse.

Types d’insights

L'affichage des aperçus d'optimisation se compose de plusieurs volets que vous pouvez faire défiler ou glisser, chacun présentant un élément différent. L’intervalle de temps - 14 jours - pour lequel les insights sont affichés est affiché en haut de l’image.

  1. Le premier volet d’insights affiche des informations statistiques : le nombre moyen d’alertes par incident, le nombre d’incidents ouverts et le nombre d’incidents fermés, regroupés par classification (vrai/faux positif). Cette analyse vous aide à déterminer la charge de travail sur cette règle et à comprendre si un ajustement est nécessaire, par exemple si les paramètres de regroupement doivent être ajustés.

    Capture d’écran de l’analyse d’efficacité des règles.

    Cet insight est le résultat d’une requête Log Analytics. La sélection des alertes moyennes par incident vous amène à la requête dans Log Analytics qui a produit l’insight. Si vous sélectionnez Ouvrir les incidents , vous accédez au panneau Incidents .

  2. Le deuxième volet d’insights vous recommande une liste d’entités à exclure. Ces entités sont fortement corrélées avec les incidents que vous avez clôturés et classés en tant que faux positifs. Sélectionnez le signe plus (+) à côté de chaque entité répertoriée pour l’exclure de la requête dans les prochaines exécutions de la règle.

    Capture d’écran de la recommandation d’exclusion d’entité.

    Cette recommandation est produite par les modèles avancés de science des données et de Machine Learning de Microsoft. L’inclusion de ce volet dans l’affichage Aperçus d’optimisation dépend de l'existence de recommandations à afficher.

  3. Le troisième volet d’analyse affiche les quatre entités mappées les plus fréquemment apparaissant dans toutes les alertes produites par cette règle. Le mappage d’entités doit être configuré sur la règle pour que cet insight produise des résultats. Cet insight peut vous aider à prendre conscience des entités qui « monopolisent l'attention » et détournent l'attention des autres. Vous pourriez gérer ces entités séparément dans une règle différente, ou décider qu'elles sont des faux positifs ou du bruit inutile et les exclure de la règle.

    Capture d’écran de l’analyse des entités principales.

    Cet insight est le résultat d’une requête Log Analytics. La sélection de l’une des entités vous amène à la requête dans Log Analytics qui a produit l’insight.

Étapes suivantes

Pour plus d’informations, consultez :

  • Last updated on