Explorer la recherche avancée de menaces
Le repérage avancé est un outil de repérage de menaces basé sur des requêtes qui vous permet d’explorer jusqu’à 30 jours de données brutes. Vous pouvez inspecter de manière proactive les événements de votre réseau pour localiser les indicateurs et les entités de menace. L’accès flexible aux données permet un repérage sans contrainte des menaces connues et potentielles.
Vous pouvez utiliser les mêmes requêtes de repérage de menaces pour créer des règles de détection personnalisées. Ces règles s’exécutent automatiquement pour rechercher une activité de violation présumée et y répondre, des machines mal configurées et d’autres découvertes. La fonctionnalité de repérage avancé prend en charge des requêtes qui vérifient un jeu de données plus large de :
Microsoft Defender for Endpoint
Microsoft Defender pour Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender pour l’identité
Pour utiliser le repérage avancé, activez Microsoft Defender XDR.
Actualisation des données et fréquence de mise à jour
Les données de repérage avancé peuvent être classées en deux types distincts, chacun étant consolidé différemment.
Données d’événement ou d’activité : Renseigne les tables sur les alertes, les événements de sécurité, les événements système et les évaluations de routine. Le repérage avancé reçoit ces données presque immédiatement après que les capteurs qui les ont collectées les transmettent aux services cloud correspondants. Par exemple, vous pouvez interroger des données d’événement de capteurs sains sur des stations de travail ou des contrôleurs de domaine presque immédiatement après qu’ils sont disponibles sur Microsoft Defender pour point de terminaison et Microsoft Defender pour Identity.
Données d’entité : remplissent les tables avec des informations sur les utilisateurs et les appareils. Ces données proviennent de sources de données et de sources dynamiques relativement statiques, telles que les entrées Active Directory et les journaux d’événements. Pour fournir des données actualisées, les tables sont mises à jour avec toutes les nouvelles informations toutes les 15 minutes, en ajoutant des lignes qui peuvent ne pas être entièrement remplies. Toutes les 24 heures, les données sont consolidées pour insérer un enregistrement qui contient le jeu de données le plus récent et le plus complet sur chaque entité.
Fuseau horaire
Les informations d’heure dans le repérage avancé sont exprimées en zone UTC.
Schéma de données
Le schéma de repérage avancé est constitué de plusieurs tables qui fournissent des informations sur les événements ou sur les appareils, les alertes, les identités et d’autres types d’entité. Pour créer efficacement des requêtes qui couvrent plusieurs tables, vous devez comprendre les tables et les colonnes du schéma de repérage avancé.
Obtenir les informations de schéma
Quand vous construisez des requêtes, utilisez la référence de schéma intégrée pour obtenir rapidement les informations suivantes sur chaque table du schéma :
Description de la table : type des données contenues dans la table et source de ces données.
Colonnes : toutes les colonnes de la table.
Types d’action : valeurs possibles dans la colonne ActionType représentant les types d’événement pris en charge par la table. Ces informations sont fournies uniquement pour les tables qui contiennent des informations sur les événements.
Exemple de requête : explique comment la table peut être utilisée.
Accéder à la référence de schéma
Pour accéder rapidement à la référence de schéma, sélectionnez l’action Voir la référence à côté du nom de la table dans la représentation du schéma. Vous pouvez également sélectionner Référence de schéma pour rechercher une table.
Découvrir les tables de schéma
La référence suivante liste toutes les tables du schéma. Chaque nom de table est lié à une page décrivant les noms de colonnes de cette table. Les noms de table et de colonne sont également listés dans le centre de sécurité dans le cadre de la représentation de schéma sur l’écran de repérage avancé.
Nom de la table | Description |
---|---|
AlertEvidence | Fichiers, adresses IP, URL, utilisateurs ou appareils associés aux alertes |
AlertInfo | Alertes de Microsoft Defender pour point de terminaison, Microsoft Defender pour Office 365, Microsoft Cloud App Security et Microsoft Defender pour Identity, notamment les informations de gravité et la catégorisation des menaces |
CloudAppEvents | Événements impliquant des comptes et des objets dans Office 365, et d’autres applications et services cloud |
DeviceEvents | Plusieurs types d’événements, y compris les événements déclenchés par des contrôles de sécurité, tels que l’Antivirus Microsoft Defender et la protection contre les attaques |
DeviceFileCertificateInfo | Informations de certificat des fichiers signés obtenus à partir des événements de vérification de certificat sur des points de terminaison |
DeviceFileEvents | Création de fichier, modification et autres événements du système de fichiers |
DeviceImageLoadEvents | Événements de chargement de DLL |
DeviceInfo | Informations sur l’ordinateur, notamment les informations sur le système d’exploitation |
DeviceLogonEvents | Connexions et autres événements d’authentification sur les appareils |
DeviceNetworkInfo | Connexion réseau et événements associés |
DeviceNetworkInfo | Propriétés réseau des appareils, y compris les adaptateurs physiques, les adresses IP et MAC, ainsi que les réseaux et domaines connectés |
DeviceProcessEvents | Création de processus et événements associés |
DeviceRegistryEvents | Création et modification des entrées du Registre |
DeviceTvmSecureConfigurationAssessment | Événements d’évaluation de la Gestion des menaces et des vulnérabilités, indiquant l’état de différentes configurations de sécurité sur les appareils |
DeviceTvmSecureConfigurationAssessmentKB | Base de connaissances de diverses configurations de sécurité utilisées par la Gestion des menaces et des vulnérabilités afin d’évaluer les appareils. Comprend des mappages à différentes normes et points de référence |
DeviceTvmSoftwareInventory | Inventaire des logiciels installés sur les appareils, y compris leurs informations de version et l’état de fin de support |
DeviceTvmSoftwareVulnerabilities | Vulnérabilités logicielles détectées sur les appareils et liste des mises à jour de sécurité disponibles qui corrigent chaque vulnérabilité |
DeviceTvmSoftwareVulnerabilitiesKB | Base de connaissances des vulnérabilités divulguées publiquement, notamment si le code malveillant exploitant une faille de sécurité est disponible publiquement |
EmailAttachmentInfo | Informations sur les fichiers joints aux e-mails |
EmailEvents | Événements liés aux e-mails dans Microsoft 365, notamment les événements de remise et de blocage des e-mails |
EmailPostDeliveryEvents | Événements de sécurité qui se produisent après la livraison, après que Microsoft 365 a remis les e-mails à la boîte aux lettres du destinataire |
EmailUrlInfo | Informations sur les URL des e-mails |
IdentityDirectoryEvents | Événements qui impliquent un contrôleur de domaine local exécutant Active Directory (AD). Ce tableau couvre une série d’événements liés aux identités et d’événements système sur le contrôleur de domaine. |
IdentityInfo | Informations de compte provenant de différentes sources, notamment Microsoft Entra ID |
IdentityLogonEvents | Événements d’authentification sur Active Directory et les services en ligne Microsoft |
IdentityQueryEvents | Requêtes pour les objets Active Directory, comme les utilisateurs, les groupes, les appareils et les domaines |
Détections personnalisées
Avec les détections personnalisées, vous pouvez monitorer de manière proactive divers événements et états du système et y répondre, notamment une activité de violation présumée et des points de terminaison mal configurés. Vous pouvez le faire avec des règles de détection personnalisables qui déclenchent automatiquement des alertes et des actions de réponse.
Les détections personnalisées fonctionnent avec le repérage avancé, qui fournit un langage de requête puissant et flexible qui couvre un large éventail d’informations sur les événements et le système de votre réseau. Vous pouvez les configurer pour qu’elles s’exécutent à intervalles réguliers, génèrent des alertes et effectuent des actions de réponse chaque fois qu’il y a des correspondances.
Les détections personnalisées offrent les éléments suivants :
Des alertes pour les détections basées sur des règles générées à partir de requêtes de repérage avancé
Des actions de réponse automatique qui s’appliquent aux fichiers et aux appareils
Créer des règles de détection
Pour créer des règles de détection :
1. Préparez la requête.
Dans le Centre de sécurité Microsoft Defender, accédez au Repérage avancé et sélectionnez une requête existante ou créez une nouvelle requête. Lorsque vous utilisez une nouvelle requête, exécutez la requête pour identifier les erreurs et comprendre les résultats possibles.
Important
Pour empêcher le service de retourner un trop grand nombre d’alertes, chaque règle est limitée à la génération de 100 alertes uniquement à chaque exécution. Avant de créer une règle, adaptez votre requête pour éviter les alertes pour une activité quotidienne normale.
Pour utiliser une requête pour une règle de détection personnalisée, la requête doit retourner les colonnes suivantes :
Timestamp
deviceId
ReportId
Les requêtes simples, telles que celles qui n’utilisent pas le projet ou l’opérateur de synthèse pour personnaliser ou agréger des résultats, retournent généralement ces colonnes générales.
Il existe plusieurs façons de s’assurer que les requêtes plus complexes retournent ces colonnes. Par exemple, si vous préférez agréger et compter par DeviceId, vous pouvez toujours retourner Timestamp et ReportId en les obtenant de l’événement le plus récent impliquant chaque appareil.
L’exemple de requête ci-dessous compte le nombre d’appareils uniques (DeviceId) avec des détections antivirus et l’utilise pour rechercher uniquement les appareils avec plus de cinq détections. Pour retourner le dernier Timestamp et le ReportId correspondant, elle utilise l’opérateur de synthèse avec la fonction arg_max.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. Créez une nouvelle règle et fournissez les détails de l’alerte.
Avec la requête dans l’éditeur de requête, sélectionnez Créer une règle de détection et spécifiez les informations de l’alerte suivantes :
Nom de la détection : Nom de la règle de détection
Fréquence : Intervalle d’exécution de la requête et de la réalisation de l’action. Voir plus de conseils ci-dessous
Titre de l’alerte : Titre affiché avec les alertes déclenchées par la règle
Gravité : Risque potentiel du composant ou de l’activité identifié par la règle.
Catégorie : Type de composant ou d’activité de menace, le cas échéant.
Techniques MITRE ATT&CK : Une ou plusieurs techniques d’attaque identifiées par la règle, comme documenté dans le Framework MITRE ATT&CK. Cette section n’est pas disponible avec certaines catégories d’alertes, telles que les programmes malveillants, les ransomware, les activités suspectes et les logiciels indésirables
Description : Informations supplémentaires sur le composant ou l’activité identifié par la règle
Actions recommandées : Actions supplémentaires que les répondeurs peuvent entreprendre en réponse à une alerte
3. Fréquence de la règle
Une fois enregistrée, une nouvelle règle de détection personnalisée s’exécute et recherche immédiatement les correspondances au cours des 30 derniers jours de données. La règle s’exécute alors à nouveau à intervalles fixes et à des périodes de recherche arrière en fonction de la fréquence choisie :
Toutes les 24 heures : S’exécute toutes les 24 heures, en vérifiant les données des 30 derniers jours
Toutes les 12 heures : s’exécute toutes les 12 heures, en vérifiant les données des 48 dernières heures
Toutes les 3 heures : s’exécute toutes les 3 heures, en vérifiant les données des 12 dernières heures
Toutes les heures : s’exécute toutes les heures, en vérifiant les données des 4 dernières heures
Continu (NRT) : s’exécute en continu, en vérifiant les données des événements au fur et à mesure qu’elles sont collectées et traitées en quasi-temps réel
Sélectionnez la fréquence qui correspond à la fréquence à laquelle vous souhaitez surveiller les détections et tenez compte de la capacité de votre organisation à répondre aux alertes.
Remarque
La définition d’une détection personnalisée pour une exécution en fréquence continue (NRT) vous permet d’augmenter la capacité de votre organisation à identifier les menaces plus rapidement.
4. Choisissez les entités affectées.
Identifiez les colonnes dans les résultats de votre requête où vous vous attendez à trouver l’entité principale affectée. Par exemple, une requête peut retourner des ID d’appareil et d’utilisateur. L’identification de la colonne qui représente l’entité affectée principale permet au service d’agréger les alertes pertinentes, de mettre en corrélation les incidents et de cibler des actions de réponse.
Vous ne pouvez sélectionner qu’une seule colonne pour chaque type d’entité. Les colonnes qui ne sont pas retournées par votre requête ne peuvent pas être sélectionnées.
5. Spécifiez des actions.
Votre règle de détection personnalisée peut effectuer automatiquement des actions sur des fichiers ou des périphériques qui sont retournés par la requête.
Actions sur les appareils
Ces actions sont appliquées aux appareils dans la colonne DeviceId des résultats de la requête :
Isoler l’appareil : Applique l’isolement réseau complet, ce qui empêche l’appareil de se connecter à une application ou à un service, à l’exception du service Defender pour point de terminaison.
Collecter le package d’enquête : Collecte des informations sur les appareils dans un fichier ZIP.
Exécuter l’analyse antivirus : Effectue une analyse complète avec l’Antivirus Microsoft Defender sur l’appareil
Lancer l’enquête : Lance une enquête automatisée sur l’appareil
Actions sur les fichiers
Ces actions sont appliquées aux fichiers dans la colonne SHA1 ou InitiatingProcessSHA1 des résultats de la requête :
Autoriser/bloquer : Ajoute automatiquement le fichier à votre liste d’indicateurs personnalisée afin qu’il soit toujours autorisé à s’exécuter ou qu’il soit toujours bloqué. Vous pouvez définir l’étendue de cette action de manière à ce qu’elle soit exécutée uniquement sur des groupes d’appareils sélectionnés. Cette étendue est indépendante de l’étendue de la règle.
Fichier en quarantaine : Supprime le fichier de son emplacement actuel et place une copie en quarantaine
6. Définissez l’étendue de la règle.
Définissez l’étendue pour spécifier les appareils couverts par la règle :
Tous les appareils
Groupes d’appareils spécifiques
Seules les données des appareils de l’étendue sont interrogées. En outre, les actions ne sont effectuées que sur ces appareils.
7. Vérifiez et activez la règle.
Après avoir vérifié la règle, sélectionnez Créer pour l’enregistrer. La règle de détection personnalisée s’exécute immédiatement. Elle est réexécutée en fonction de la fréquence configurée pour rechercher les correspondances, générer des alertes et effectuer des actions de réponse.