Examiner les incidents avec Microsoft Sentinel (hérité)

S’applique à: Microsoft Sentinel in the Azure portal

Cet article vous aide à utiliser l’expérience d’investigation des incidents héritée de Microsoft Sentinel. Si vous utilisez la version la plus récente de l’interface, utilisez le nouvel ensemble d’instructions pour correspondre. Pour plus d’informations, consultez Parcourir et examiner les incidents dans Microsoft Sentinel.

Après avoir connecté vos sources de données à Microsoft Sentinel, vous souhaitez être averti en cas de survenance d’un événement suspect. Pour vous permettre d’effectuer cette opération, Microsoft Sentinel vous permet de créer des règles d’analyse avancées qui génèrent des incidents que vous pouvez attribuer et examiner.

Un incident peut inclure plusieurs alertes. Il s’agit d’une agrégation de toutes les preuves pertinentes pour une enquête spécifique. Un incident est créé en fonction des règles d’analyse que vous avez créées dans la page Analyse . Les propriétés relatives aux alertes, telles que l’état et la gravité, sont définies au niveau de l’incident. Une fois que vous avez informé Microsoft Sentinel des types de menaces que vous recherchez et de la manière de les trouver, vous pouvez surveiller les menaces détectées en examinant les incidents.

Important

Les fonctionnalités notées sont actuellement en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale.

Conditions préalables

Vous ne pourrez enquêter sur l’incident que si vous avez utilisé les champs de mappage d’entités lors de la configuration de votre règle d’analyse. Le graphique d’examen requiert que votre incident d’origine comprenne des entités.
Si vous avez un utilisateur invité qui doit attribuer des incidents, l’utilisateur doit se voir attribuer le rôle Lecteur de répertoire dans votre locataire Microsoft Entra. Les utilisateurs standard (non invités) se voient attribuer ce rôle par défaut.

Comment enquêter sur les incidents

Sélectionnez Incidents. La page Incidents vous permet de savoir combien d’incidents vous avez et s’ils sont nouveaux, actifs ou fermés. Pour chaque incident, vous pouvez voir l’heure à laquelle il s’est produit et le statut de l’incident. Examinez la gravité pour décider quels incidents traiter en premier.
Vous pouvez filtrer les incidents selon vos besoins, par exemple par statut ou par gravité. Pour plus d’informations, consultez Rechercher des incidents.
Pour commencer une enquête, sélectionnez un incident spécifique. Sur la droite, vous pouvez voir des informations détaillées sur l’incident, notamment sa gravité, un résumé du nombre d’entités impliquées, les événements bruts qui ont déclenché cet incident, l’ID unique de l’incident et toutes les tactiques ou techniques MITRE ATT&CK cartographiées.
Pour afficher plus de détails sur les alertes et les entités de l’incident, sélectionnez Afficher tous les détails sur la page de l’incident et passez en revue les onglets pertinents qui résument les informations de l’incident.
- Si vous utilisez actuellement la nouvelle expérience, désactivez-la en haut à droite de la page de détails de l’incident pour utiliser l’ancienne expérience à la place.
- Dans l’onglet Chronologie , passez en revue la chronologie des alertes et des signets de l’incident, ce qui peut vous aider à reconstruire la chronologie de l’activité de l’attaquant.
- Dans l’onglet Incidents similaires (préversion), vous voyez une collection de 20 autres incidents maximum qui ressemblent le plus à l’incident actuel. Ceci vous permet de voir l’incident dans un contexte plus large et vous aide à diriger votre investigation. Apprenez-en plus sur des incidents similaires ci-dessous.
- Dans l’onglet Alertes , passez en revue les alertes incluses dans cet incident. Vous voyez toutes les informations pertinentes sur les alertes : les règles d’analyse qui les ont produites, le nombre de résultats renvoyés par alerte et la possibilité d’exécuter des playbooks sur les alertes. Pour approfondir l’incident, sélectionnez le nombre d’événements. Cela ouvre la requête qui a généré les résultats et les événements qui ont déclenché l’alerte dans Log Analytics.
- Dans l’onglet Signets , vous voyez tous les signets que vous ou d’autres enquêteurs avez liés à cet incident. En savoir plus sur les signets.
- Dans l’onglet Entités , vous pouvez voir toutes les entités que vous avez mappées dans le cadre de la définition de la règle d’alerte. Ce sont les objets qui ont joué un rôle dans l’incident, que ce soient des utilisateurs, des appareils, des adresses, des fichiers ou des objets d’autres types.
- Enfin, dans l’onglet Commentaires , vous pouvez ajouter vos commentaires sur l’enquête et afficher les commentaires faits par d’autres analystes et enquêteurs. En savoir plus sur les commentaires.
Si vous enquêtez activement sur un incident, il est conseillé de définir le statut de l’incident sur Actif jusqu’à ce que vous le clôturiez.
Les incidents peuvent être attribués à un utilisateur spécifique ou à un groupe. Pour chaque incident, vous pouvez attribuer un propriétaire, en définissant le champ Propriétaire . Tous les incidents commencent comme non attribués. Vous pouvez également ajouter des commentaires afin que d’autres analystes puissent comprendre ce que vous avez enquêté et quelles sont vos préoccupations concernant l’incident.

Les utilisateurs et groupes récemment sélectionnés s’affichent en haut de la liste déroulante illustrée.
Sélectionnez Examiner pour afficher la carte d’enquête.

Utiliser le graphique d’investigation pour approfondir

Le graphique d’examen permet aux analystes de poser les bonnes questions pour chaque examen. Le graphique d’investigation vous aide à comprendre l’étendue et à identifier la cause profonde d’une menace de sécurité potentielle en corrélant les données pertinentes avec toute entité impliquée. Vous pouvez approfondir et examiner n’importe quelle entité présentée dans le graphique en la sélectionnant et en choisissant entre différentes options d’expansion.

Le graphique d’examen vous fournit les éléments suivants :

Contexte visuel à partir de données brutes : le graphique visuel en direct affiche les relations d’entité extraites automatiquement des données brutes. Cela vous permet de visualiser aisément les connexions entre les différentes sources de données.
Découverte de l’étendue complète de l’enquête : élargissez votre portée d’enquête à l’aide de requêtes d’exploration intégrées pour mettre en évidence l’ensemble de l’étendue d’une violation.
Étapes d’investigation intégrées : utilisez des options d’exploration prédéfinies pour vous assurer que vous posez les bonnes questions face à une menace.

Pour utiliser le graphique d’investigation :

Sélectionnez un incident, puis Examiner. Vous accédez au graphique d’examen. Le graphique fournit une carte illustrant les entités directement connectées à l’alerte et à chaque ressource connectée.
Important
- Vous ne pourrez enquêter sur l’incident que si vous avez utilisé les champs de mappage d’entités lors de la configuration de votre règle d’analyse. Le graphique d’examen requiert que votre incident d’origine comprenne des entités.
- Microsoft Sentinel prend actuellement en charge l’investigation des incidents datant de moins de 30 jours.
Sélectionnez une entité pour ouvrir le volet Entités et consulter les informations y afférentes.
Élargissez votre enquête en survolant chaque entité pour afficher une liste de questions conçue par nos experts en sécurité et nos analystes par type d’entité afin d’approfondir votre enquête. Nous appelons ces options des requêtes d’exploration.

Par exemple, vous pouvez demander les alertes associées. Si vous sélectionnez une requête d’exploration, les droits résultants sont rajoutés au graphique. Dans cet exemple, la sélection d’Alertes associées a renvoyé les alertes suivantes dans le graphique :

Vous voyez que les alertes associées apparaissent connectées à l’entité par des lignes en pointillés.
Pour chaque requête d’exploration, vous pouvez sélectionner l’option permettant d’ouvrir les résultats bruts de l’événement et la requête utilisée dans Log Analytics, en sélectionnant Événements> .
Pour comprendre l’incident, le graphique vous donne une chronologie parallèle.
Pointez sur la chronologie pour voir quels éléments du graphique se sont produits à un moment donné.

Concentrez votre enquête

Découvrez comment vous pouvez élargir ou restreindre la portée de votre enquête en ajoutant des alertes à vos incidents ou en supprimant des alertes d’incidents.

Incidents similaires (préversion)

En tant qu’analyste des opérations de sécurité, lors de l’investigation d’un incident, vous voulez étudier son contexte en l’élargissant. Par exemple, vous voudrez voir si d’autres incidents de ce type se sont déjà produits ou se produisent maintenant.

Vous voudrez peut-être identifier des incidents simultanés qui pourraient faire partie de la même stratégie d’attaque de plus grande envergure.
Vous voudrez identifier des incidents similaires dans le passé, pour les utiliser comme points de référence pour votre investigation actuelle.
Vous voudrez identifier les propriétaires des incidents similaires passés, pour trouver les personnes dans votre SOC qui peuvent fournir plus de contexte ou à qui vous pouvez faire remonter l’investigation.

L’onglet Incidents similaires de la page de détails de l’incident, maintenant en préversion, présente jusqu’à 20 autres incidents qui sont les plus similaires à l’incident actuel. La similarité est calculée par des algorithmes internes de Microsoft Sentinel, et les incidents sont triés et affichés par ordre décroissant de similarité.

Calcul de similarité

La similitude est déterminée selon trois critères :

Entités similaires : Un incident est considéré comme similaire à un autre incident s’ils incluent tous deux les mêmes entités. Plus les deux incidents ont d’entités en commun, plus ils sont considérés comme similaires.
Règle similaire : Un incident est considéré comme similaire à un autre incident s’ils ont tous deux été créés par la même règle d’analyse.
Détails d’alerte similaires : Un incident est considéré comme similaire à un autre incident s’ils partagent le même titre, le même nom de produit et/ou les mêmes détails personnalisés.

Les raisons pour lesquelles un incident apparaît dans la liste des incidents similaires sont affichées dans la colonne Raison de la similarité. Pointez sur l’icône Informations pour afficher les éléments communs (entités, nom de la règle ou détails).

Capture d'écran de l'affichage en pop-up des détails d'un incident similaire.

Chronologie de la similitude

La similarité de l’incident est calculée en fonction des données des 14 jours précédant la dernière activité de l’incident, qui correspond à l’heure de fin de l’alerte la plus récente dans l’incident.

La similarité d’incident est recalculée chaque fois que vous entrez dans la page de détails de l’incident, de sorte que les résultats peuvent varier d’une session à l’autre si de nouveaux incidents ont été créés ou mis à jour.

Commenter les incidents

En tant qu’analyste des opérations de sécurité, lorsque vous enquêtez sur un incident, vous devez documenter minutieusement les mesures que vous prenez, à la fois pour garantir des rapports précis à la direction et pour permettre une coopération et une collaboration transparentes entre collègues. Microsoft Sentinel vous offre un environnement de commentaires riche pour vous aider à accomplir cela.

Une autre chose importante que vous pouvez faire avec les commentaires est d’enrichir automatiquement vos incidents. Lorsque vous exécutez un playbook sur un incident qui récupère des informations pertinentes à partir de sources externes (par exemple, la recherche d’un fichier pour les logiciels malveillants chez VirusTotal), vous pouvez demander au playbook de placer la réponse de la source externe, ainsi que toute autre information que vous définissez, dans les commentaires de l’incident.

Les commentaires sont simples à utiliser. Vous y accédez via l’onglet Commentaires de la page de détails de l’incident.

Capture d'écran de l'affichage et de la saisie des commentaires.

Foire aux questions sur les commentaires sur les incidents

Il y a plusieurs considérations à prendre en compte lors de l’utilisation des commentaires d’incident. La liste de questions suivante met en évidence ces considérations.

Quels types d’entrée sont pris en charge ?

SMS: Les commentaires dans Microsoft Sentinel prennent en charge les entrées de texte en texte brut, en HTML de base et en Markdown. Vous pouvez également coller des données texte, HTML et Markdown copiées dans la fenêtre de commentaire.
Images: Vous pouvez insérer des liens vers des images dans les commentaires et les images sont affichées en ligne, mais les images doivent déjà être hébergées dans un emplacement accessible au public, tel que Dropbox, OneDrive, Google Drive, etc. Les images ne peuvent pas être chargées directement sur les commentaires.

Y a-t-il une limite de taille pour les commentaires ?

Par commentaire : un seul commentaire peut contenir jusqu’à 30 000 caractères.
Par incident : un seul incident peut contenir jusqu’à 100 commentaires.

Remarque

La taille limite d’un enregistrement d’incident unique dans la table SecurityIncident de Log Analytics est de 64 Ko. Si cette limite est dépassée, les commentaires (en commençant par le plus ancien) seront tronqués, ce qui peut affecter les commentaires qui apparaîtront dans les résultats de recherche avancée .

Les enregistrements d’incidents réels dans la base de données des incidents ne seront pas affectés.

Qui peut modifier ou supprimer des commentaires ?

Modification : seul l’auteur d’un commentaire a l’autorisation de le modifier.
Suppression : seuls les utilisateurs ayant le rôle Collaborateur Microsoft Sentinel ont l’autorisation de supprimer des commentaires. Même l’auteur du commentaire doit avoir ce rôle pour pouvoir le supprimer.

Fermer un incident

Une fois que vous avez résolu un incident particulier (par exemple, lorsque votre enquête est terminée), vous devez définir le statut de l’incident sur Fermé. Lorsque vous le faites, il vous sera demandé de classifier l’incident en spécifiant la raison pour laquelle vous le fermez. Cette étape est obligatoire. Sélectionnez Sélectionner la classification, puis choisissez l’une des options suivantes dans la liste déroulante :

True Positive - activité suspecte
Bénin Positif - suspect mais attendu
Faux positif - logique d’alerte incorrecte
Faux positif - données incorrectes
Indéterminé

Capture d’écran qui met en évidence les classifications disponibles dans la liste Sélectionner le classification.

Pour plus d’informations sur les faux positifs et les positifs bénins, consultez Gérer les faux positifs dans Microsoft Sentinel.

Après avoir choisi la classification appropriée, ajoutez un texte descriptif dans le champ Commentaire. Cela vous sera utile si vous devez revenir à cet incident. Lorsque vous avez terminé, sélectionnez Appliquer pour fermer l’incident.

Capture d’écran de la fermeture d’un incident.

Rechercher des incidents

Pour trouver rapidement un incident spécifique, entrez une chaîne de recherche dans la zone de recherche au-dessus de la grille des incidents et appuyez sur Entrée pour modifier la liste des incidents affichée en conséquence. Si votre incident ne figure pas dans les résultats, vous souhaiterez peut-être affiner votre recherche avec les options de recherche avancée.

Pour modifier les paramètres de recherche, sélectionnez le bouton Rechercher, puis sélectionnez les paramètres où vous souhaitez exécuter votre recherche.

Par exemple:

Par défaut, les recherches d’incidents se font uniquement avec les valeurs ID d’incident, Titre, Étiquettes, Propriétaires et Nom du produit. Dans le volet de recherche, faites défiler la liste pour sélectionner un ou plusieurs autres paramètres à rechercher, puis sélectionnez Appliquer pour mettre à jour les paramètres de recherche. Sélectionner Revenir au paramètre par défaut réinitialise les paramètres sélectionnés vers l’option par défaut.

Remarque

Les recherches dans le champ Propriétaire prennent en charge les noms et les adresses e-mail.

L’utilisation des options de recherche avancées modifie le comportement de recherche comme suit :

Comportement de la recherche	Descriptif
Couleur du bouton de recherche	La couleur du bouton de recherche change en fonction des types de paramètres utilisés dans la recherche. Tant que seuls les paramètres par défaut sont sélectionnés, le bouton est grisé. Dès que des paramètres différents sont sélectionnés, tels que des paramètres de recherche avancée, le bouton devient bleu.
Actualisation automatique	L’utilisation de paramètres de recherche avancée vous empêche de sélectionner l’actualisation automatique de vos résultats.
Paramètres d’entité	Tous les paramètres d’entité sont pris en charge pour les recherches avancées. Lors de la recherche dans n’importe quel paramètre d’entité, la recherche s’exécute dans tous les paramètres d’entité.
Rechercher des chaînes	La recherche d’une chaîne de mots comprend tous les mots de la requête de recherche. Les chaînes de recherche respectent la casse.
Prise en charge de l’espace de travail croisé	Les recherches avancées ne sont pas prises en charge pour les vues entre espaces de travail.
Nombre de résultats de recherche affichés	Lorsque vous utilisez des paramètres de recherche avancée, seuls 50 résultats sont affichés à la fois.

Conseil / Astuce

Si vous ne parvenez pas à trouver l’incident que vous recherchez, supprimez les paramètres de recherche pour étendre votre recherche. Si votre recherche aboutit à un trop grand nombre d’éléments, ajoutez des filtres pour affiner vos résultats.

Dans cet article, vous avez appris à commencer à examiner les incidents à l’aide de Microsoft Sentinel. Pour plus d’informations, consultez :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-06-23