Partager via


Créer et utiliser des règles d’automatisation Microsoft Sentinel pour gérer la réponse

Cet article explique comment créer et utiliser des règles d'automatisation dans Microsoft Sentinel pour gérer et orchestrer la réponse aux menaces, afin d'optimiser l'efficacité de votre SOC.

Dans cet article, vous allez apprendre à définir les déclencheurs et les conditions qui déterminent quand votre règle d’automatisation s’exécute, les différentes actions que la règle peut effectuer, ainsi que les fonctionnalités restantes.

Important

Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans licence Microsoft Defender XDR ou E5. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.

Concevoir votre règle d’automatisation

Avant de créer votre règle d’automatisation, nous vous recommandons de déterminer son étendue et sa conception, notamment le déclencheur, les conditions et les actions qui composent votre règle.

Déterminer l'étendue

La première étape de la conception et de la définition de votre règle d’automatisation est de déterminer les incidents ou les alertes auxquels vous voulez qu’elle s’applique. Cette détermination a un impact direct sur la façon dont vous créez la règle.

Vous souhaitez également déterminer votre cas d’usage. Qu’est-ce que vous essayez d’accomplir avec cette automatisation ? Considérez les options suivantes :

  • Créez des tâches que vos analystes doivent suivre lors du triage, de l’investigation et de la correction des incidents.
  • Supprimer les incidents bruyants. (Vous pouvez également utiliser d’autres méthodes pour gérer les faux positifs dans Microsoft Sentinel.)
  • Trier les nouveaux incidents en modifiant leur état de Nouveau à Actif et en attribuant un propriétaire.
  • Baliser les incidents pour les classifier.
  • Escalader un incident en attribuant un nouveau propriétaire.
  • Fermer les incidents résolus, en spécifiant un motif et en ajoutant des commentaires.
  • Inspecter le contenu de l’incident (alertes, entités et autres propriétés) et effectuer des actions supplémentaires en appelant un playbook.
  • Gérez ou répondez à une alerte sans incident associé.

Déterminer le déclencheur

Voulez-vous que cette automatisation soit activée lorsque des incidents ou des alertes sont créés ? Ou chaque fois qu’un incident est mis à jour ?

Les règles d’automatisation sont déclenchées quand un incident est créé ou mis à jour, ou quand une alerte est créée. Rappelons que les incidents incluent des alertes, et que les alertes et les incidents peuvent être créés par des règles analytiques, dont il existe plusieurs types, comme expliqué dans Détection des menaces dans Microsoft Sentinel.

Le tableau suivant présente les différents scénarios possibles qui entraînent l’exécution d’une règle d’automatisation.

Type de déclencheur Événements entraînant l’exécution de la règle
Lorsqu’un incident est créé Portail Microsoft Defender :
  • Un nouvel incident est créé sur le portail Microsoft Defender.

    Microsoft Sentinel non intégré au portail Defender :
  • Un nouvel incident est créé par une règle d’analyse.
  • Un incident est ingéré à partir de Microsoft Defender XDR.
  • Un nouvel incident est créé manuellement.
  • Lorsqu'un incident est mis à jour
  • L’état d’un incident est modifié (fermé/rouvert/trié).
  • Le propriétaire d’un incident est attribué ou modifié.
  • La gravité d’un incident est augmentée ou réduite.
  • Des alertes sont ajoutées à un incident.
  • Des commentaires, des étiquettes ou des tactiques sont ajoutés à un incident.
  • Lors de la création d’une alerte
  • Une alerte est créée par une règle analytique planifiée ou NRT de Microsoft Sentinel.
  • Concevoir votre règle d’automatisation

    La plupart des instructions suivantes s’appliquent à tous les cas d’usage pour lesquels vous allez créer des règles d’automatisation.

    Si vous cherchez à supprimer les incidents bruyants, essayez de gérer les faux positifs.

    Si vous souhaitez créer une règle d’automatisation à appliquer à une règle analytique spécifique, consultez la rubrique Définir des réponses automatisées et créer la règle.

    Pour créer votre règle d’automatisation :

    1. Pour Microsoft Sentinel, dans le portail Azure, sélectionnez la page Configuration>Automation. Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Configuration>Automation.

    2. À partir de la page Automation du menu de navigation Microsoft Sentinel, sélectionnez Créer dans le menu supérieur, puis choisissez Règle d’automatisation.

    3. Le panneau Créer une règle d’automatisation s’ouvre. Dans le champ Nom de la règle d’automatisation, saisissez un nom à attribuer à votre règle.

    Choisir votre déclencheur

    Dans le menu déroulant Déclencheur, sélectionnez le déclencheur approprié en fonction de la circonstance pour laquelle vous créez la règle d’automatisation : Lors de la création de l’incident, Lors de la mise à jour de l’incident ou Lors de la création d’une alerte.

    Capture d’écran de la sélection du déclencheur de création d’incident ou de mise à jour d’incident.

    Définir les conditions

    Utilisez les options de la zone Conditions pour définir des conditions à attribuer à votre règle d’automatisation.

    • Les règles que vous créez lors de la création d’une alerte prennent uniquement en charge la propriété Si le nom de la règle analytique dans votre condition. Indiquez si vous souhaitez que la règle soit inclusive (Contient) ou exclusive (Ne contient pas), puis sélectionnez le nom de la règle analytique dans la liste déroulante.

      Les valeurs des noms de règle d’analyse incluent uniquement les règles d’analyse et n’incluent pas d’autres types de règles, comme les règles de veille des menaces ou d’anomalie.

    • Les règles que vous créez pour la création ou la mise à jour d’un incident prennent en charge une grande variété de conditions, en fonction de votre environnement. Ces options commencent par déterminer si votre espace de travail est intégré au portail Defender :

      Si votre espace de travail est intégré au portail Defender, commencez par sélectionner l’un des opérateurs suivants dans le portail Azure ou le portail Defender :

      • AND : conditions individuelles évaluées en tant que groupe. La règle s’exécute si toutes les conditions de ce type sont remplies.

        Pour utiliser l’opérateur AND, sélectionnez le bouton déroulant + Ajouter et cliquez sur Condition (And) dans la liste déroulante. La liste des conditions est alimentée par les champs de propriété de l'incident et de propriété de l'entité.

      • OU (également appelé groupes de conditions) : groupes de conditions, chacun d’eux étant évalué indépendamment. La règle s’exécute si un ou plusieurs groupes de conditions sont vrais. Pour savoir comment utiliser ces types de conditions complexes, consultez Ajouter des conditions avancées aux règles d’automatisation.

      Par exemple :

      Capture d’écran des conditions de règle d’automatisation lorsque votre espace de travail est intégré au portail Defender.

      Si vous avez sélectionné Lorsqu’un incident est mis à jour en tant que déclencheur, commencez par définir vos conditions, puis ajoutez des opérateurs et des valeurs supplémentaires si nécessaire.

    Pour définir vos conditions :

    1. Sélectionnez une propriété dans la première zone déroulante à gauche. Vous pouvez commencer à taper n’importe quelle partie d’un nom de propriété dans la zone de recherche pour filtrer dynamiquement la liste, afin de trouver ce que vous recherchez rapidement.

      Capture d’écran de la saisie dans une zone de recherche pour filtrer la liste de choix.

    2. Sélectionnez un opérateur dans la zone déroulante suivante à droite. Capture d’écran de la sélection d’un opérateur de conditions pour les règles d’automatisation.

      La liste des opérateurs que vous pouvez choisir varie selon le déclencheur et la propriété sélectionnés.

      Conditions disponibles avec le déclencheur de création

      Propriété Ensemble des opérateurs
      - Titre
      - Description
      - Toutes les propriétés d’entité répertoriées
        (consultez les propriétés d’entités prises en charge)
      - Égal à/n’est pas égal
      - Contient/Ne contient pas
      - Commence par/Ne commence pas par
      - Se termine par/ne se termine pas par
      - Balise (voir individuelle ou collection) Toute balise individuelle :
      - Égal à/n’est pas égal
      - Contient/Ne contient pas
      - Commence par/Ne commence pas par
      - Se termine par/ne se termine pas par

      Collection de toutes les balises :
      - Contient/Ne contient pas
      - Niveau de gravité
      - État
      - Clé des détails personnalisés
      - Égal à/n’est pas égal
      - Tactique
      - Noms des produits d’alerte
      - Valeur des détails personnalisés
      - Nom de la règle analytique
      - Contient/Ne contient pas

      Conditions disponibles avec le déclencheur de mise à jour

      Propriété Ensemble des opérateurs
      - Titre
      - Description
      - Toutes les propriétés d’entité répertoriées
        (consultez les propriétés d’entités prises en charge)
      - Égal à/n’est pas égal
      - Contient/Ne contient pas
      - Commence par/Ne commence pas par
      - Se termine par/ne se termine pas par
      - Balise (voir individuelle ou collection) Toute balise individuelle :
      - Égal à/n’est pas égal
      - Contient/Ne contient pas
      - Commence par/Ne commence pas par
      - Se termine par/ne se termine pas par

      Collection de toutes les balises :
      - Contient/Ne contient pas
      - Balise (en complément de ce qui précède)
      - Alertes
      - Commentaires
      - Ajouté
      - Niveau de gravité
      - État
      - Égal à/n’est pas égal
      - Modifié
      - Valeur précédente
      - Nouvelle valeur
      - Propriétaire - Modifié
      - Mis à jour par
      - Clé des détails personnalisés
      - Égal à/n’est pas égal
      - Tactique - Contient/Ne contient pas
      - Ajouté
      - Noms des produits d’alerte
      - Valeur des détails personnalisés
      - Nom de la règle analytique
      - Contient/Ne contient pas

      Conditions disponibles avec le déclencheur d’alerte

      La seule condition qui peut être évaluée par les règles basées sur le déclencheur de création d’alerte est celle relative à la règle analytique Microsoft Sentinel qui a créé l’alerte.

      Les règles d’automatisation basées sur le déclencheur d’alerte s’exécutent uniquement sur les alertes créées par Microsoft Sentinel.

    3. Saisissez une valeur dans le champ à droite. Selon la propriété choisie, il peut s’agir d’une zone de texte ou d’une liste déroulante dans laquelle vous pouvez sélectionner une valeur à partir d’une liste fermée. Vous pouvez également ajouter plusieurs valeurs en sélectionnant l’icône de dés situé à droite de la zone de texte.

      Capture d’écran de l’ajout de valeurs à votre conditions dans les règles d’automatisation.

    Là encore, pour définir des conditions Or complexes avec des champs différents, consultez Ajouter des conditions avancées aux règles d’automatisation.

    Conditions basées sur des balises

    Vous pouvez créer deux types de conditions basées sur des balises :

    • Les conditions ayant pour opérateur Toute balise individuelle évaluent la valeur spécifiée par rapport à chaque balise de la collection. L’évaluation est vraie quand au moins une balise remplit la condition.
    • Les conditions ayant pour opérateur Collection de toutes les balises évaluent la valeur spécifiée par rapport à la collection de balises considérée comme une unité unique. L’évaluation est vraie uniquement si la collection dans son ensemble remplit la condition.

    Pour ajouter l’une de ces conditions en fonction des balises d’un incident, procédez comme suit :

    1. Créez une règle d’automatisation comme décrit ci-dessus.

    2. Ajoutez une condition ou un groupe de conditions.

    3. Sélectionnez Balise dans la liste déroulante des propriétés.

    4. Sélectionnez la liste déroulante des opérateurs pour afficher les opérateurs disponibles.

      Vous pouvez constater que les opérateurs sont divisés en deux catégories, comme indiqué précédemment. Choisissez attentivement votre opérateur en fonction de la manière dont vous souhaitez que les balises soient évaluées.

      Pour plus d’informations, consultez Propriété des balises : individuelle ou collection.

    Conditions basées sur des détails personnalisés

    Vous pouvez définir la valeur d’un détail personnalisé exposé dans un incident comme condition d’une règle d’automatisation. Rappelez-vous que les détails personnalisés sont des points de données dans des enregistrements du journal des événements bruts qui peuvent être exposés et affichés dans des alertes et les incidents générés à partir de ceux-ci. Servez-vous des détails personnalisés pour accéder au contenu pertinent de vos alertes sans avoir à parcourir les résultats des requêtes.

    Pour ajouter une condition basée sur un détail personnalisé :

    1. Créez une règle d’automatisation comme décrit précédemment.

    2. Ajoutez une condition ou un groupe de conditions.

    3. Sélectionnez Clé des détails personnalisés dans la liste déroulante des propriétés. Sélectionnez Est égal à ou Est différent de dans la liste déroulante des opérateurs.

      Pour la condition des détails personnalisés, les valeurs de la dernière liste déroulante proviennent des détails personnalisés qui ont été exposés dans toutes les règles analytiques listées dans la première condition. Sélectionnez le détail personnalisé que vous souhaitez utiliser comme condition.

      Capture d’écran de l’ajout d’une clé de détails personnalisés comme condition.

    4. Vous avez choisi le champ que vous souhaitez évaluer pour cette condition. Spécifiez maintenant la valeur apparaissant dans ce champ pour que cette condition soit évaluée comme vraie.
      Sélectionnez + Ajouter une condition d’élément.

      Capture d’écran de la sélection de l’option Ajouter une condition d’élément pour des règles d’automatisation.

      La ligne de condition de valeur s’affiche ci-dessous.

      Capture d’écran du champ de valeur de détail personnalisé qui s’affiche.

    5. Sélectionnez Contient ou Ne contient pas dans la liste déroulante des opérateurs. Dans la zone de texte à droite, entrez la valeur pour laquelle vous souhaitez que la condition ait la valeur true.

      Capture d’écran du champ de valeur de détail personnalisé renseigné.

    Dans cet exemple, si l’incident a le détail personnalisé DestinationEmail et si la valeur de ce détail est pwned@bad-botnet.com, les actions définies dans la règle d’automatisation s’exécutent.

    Ajouter des actions

    Choisissez les actions que vous souhaitez que cette règle d’automatisation prenne. Les actions disponibles incluent Attribuer un propriétaire, Modifier le statut, Modifier la sévérité, Ajouter des balises et Exécuter le playbook. Vous pouvez ajouter autant d’actions que vous le souhaitez.

    Notes

    Seule l’action Exécuter le playbook est disponible dans les règles d’automatisation en utilisant le déclencheur d’alerte.

    Capture d’écran de la liste d’action à sélectionner dans la règle d’automatisation.

    Pour l’action que vous choisissez, quelle qu’elle soit, renseignez les champs qui apparaissent pour l’action concernée en fonction de vos désirs.

    Si vous ajoutez une action Exécuter le playbook, vous êtes invité à choisir dans la liste déroulante des playbooks disponibles.

    • Seuls les playbooks commençant par le déclencheur d’incident peuvent être exécutés à partir de règles d’automatisation à l’aide d’un des déclencheurs d’incident. Ce sont par conséquent les seuls à figurer dans la liste. De même, seuls les playbooks commençant par le déclencheur d’alerte sont disponibles dans les règles d’automatisation à l’aide du déclencheur d’alerte.

    • Microsoft Sentinel doit recevoir des autorisations explicites pour pouvoir exécuter des playbooks. Si un playbook apparaît comme indisponible dans la liste déroulante, cela signifie que Sentinel n’a pas d’autorisation d’accès au groupe de ressources de ce playbook. Pour attribuer des autorisations, sélectionnez le lien Gérer les autorisations du playbook.

      Dans le panneau Gérer les autorisations qui s’ouvre, cochez les cases des groupes de ressources contenant les playbooks à exécuter, puis sélectionnez Appliquer.

      Gérer les autorisations

      Vous devez disposer des autorisations de propriétaire sur n’importe quel groupe de ressources auquel vous souhaitez accorder des autorisations Microsoft Sentinel, et vous devez disposer du rôle Contributeur Microsoft Sentinel Automation sur n’importe quel groupe de ressources contenant des playbooks que vous souhaitez exécuter.

    • Si vous n’avez pas encore de playbook qui prend l’action souhaitée, créez un playbook. Vous devez quitter le processus de création de règle d’automatisation et le redémarrer après avoir créé votre playbook.

    Déplacer des actions

    Vous pouvez modifier l’ordre des actions dans votre règle, même après les avoir ajoutées. Sélectionnez les flèches bleues vers le haut ou le bas en regard de chaque action pour la déplacer vers le haut ou vers le bas d’une étape.

    Capture d’écran montrant comment déplacer des actions vers le haut ou vers le bas.

    Terminer la création de votre règle

    1. Sous Expiration de la règle, si vous souhaitez que votre règle d’automatisation expire, définissez une date d’expiration et éventuellement une heure. Dans le cas contraire, conservez Indéfini.

    2. Le champ Ordre est prérempli avec le prochain numéro disponible pour le type de déclencheur de votre règle. Ce nombre détermine où cette règle s’exécute dans la séquence de règles d’automatisation (pour le même type de déclencheur). Vous pouvez modifier le nombre si vous souhaitez que cette règle s’exécute avant une règle existante.

      Pour plus d’informations, consultez Remarques sur l’ordre d’exécution et la priorité.

    3. Sélectionnez Appliquer. Vous avez terminé !

    Capture d’écran des dernières étapes de création d’une règle d’automatisation.

    Audit de l’activité de règle d’automatisation

    Découvrez les effets que les règles d’automatisation auraient pu avoir sur un incident donné. Vous pouvez consulter l’ensemble des chroniques d’incidents dans le tableau SecurityIncidentfigurant sur la page Journaux du portail Azure, ou sur la page Chasse avancée du portail Defender. Utilisez la requête suivante pour afficher l’activité de votre règle d’automatisation :

    SecurityIncident
    | where ModifiedBy contains "Automation"
    

    Exécution de règles d’automatisation

    Les règles d’automatisation s’exécutent de manière séquentielle, en fonction de l’ordre que vous déterminez. Chaque règle d’automatisation s’exécute une fois l’exécution de la règle précédente terminée. Dans une règle d’automatisation, toutes les actions sont exécutées de manière séquentielle dans l’ordre dans lequel elles sont définies. Pour plus d’informations, consultez Remarques sur l’ordre d’exécution et la priorité.

    Les actions du playbook au sein d’une règle d’automatisation peuvent être traitées différemment dans certaines circonstances, en fonction des critères suivants :

    Temps d’exécution du playbook La règle d’automatisation passe à l’action suivante...
    Inférieur à une seconde Immédiatement après l’exécution du playbook
    Moins de deux minutes Jusqu’à deux minutes après le début de l’exécution du playbook,
    mais pas plus de 10 secondes après la fin du playbook
    Moins de deux minutes Deux minutes après le début de l’exécution du playbook,
    qu’il soit ou non terminé

    Étapes suivantes

    Ce document vous a montré comment utiliser les règles d’automatisation pour gérer de manière centralisée l’automatisation de la réponse aux incidents et alertes Microsoft Sentinel.