Pages d’entités dans Microsoft Sentinel

  • Article
  • S’applique à:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Lorsque vous rencontrez un compte d’utilisateur, un nom d’hôte, une adresse IP ou une ressource Azure dans une enquête sur les incidents, vous voudrez peut-être en savoir plus. Par exemple, vous souhaiterez peut-être connaître son historique d’activité, par exemple le fait qu’il soit apparu dans d’autres alertes ou incidents, qu’il ait fait quelque chose d’inattendu ou hors de caractère, et ainsi de suite. En bref, vous souhaitez obtenir des informations qui peuvent vous aider à déterminer quel type de menace ces entités représentent et guident votre enquête en conséquence.

Important

Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiées dans le portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Pages d’entité

Dans ces situations, vous pouvez sélectionner l’entité (elle apparaît sous la forme d’un lien cliquable) et être redirigé vers une page d’entité, une feuille de données complète d’informations utiles sur cette entité. Vous pouvez également accéder à une page d’entité en recherchant directement des entités dans la page de comportement de l’entité Microsoft Sentinel. Les types d’informations que contient les pages d’entités incluent des faits de base sur l’entité, une chronologie d’événements notables liés à cette entité, ainsi que des insights sur le comportement de l’entité.

Plus précisément, les pages d’entité se composent de trois parties :

  • Le volet gauche contient les informations d’identification de l’entité, collectées à partir de sources de données telles que Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender pour le cloud, CEF/Syslog et Microsoft Defender XDR (avec tous ses composants).

  • Le panneau central affiche une chronologie graphique et textuelle des événements notables liés à l’entité, tels que des alertes, des signets, des anomalies et des activités. Les activités sont des agrégations d’événements notables de Log Analytics. Les requêtes qui détectent ces activités sont développées par des équipes de recherche en matière de sécurité de Microsoft, et vous pouvez désormais ajouter vos propres requêtes personnalisées pour détecter les activités de votre choix.

  • Le panneau de droite présente des insights comportementaux sur l’entité. Ces insights sont développés en continu par les équipes de recherche de sécurité Microsoft. Ils sont basés sur différentes sources de données et fournissent un contexte pour l’entité et ses activités observées, ce qui vous aide à identifier rapidement les menaces anormales et les menaces de sécurité.

    À partir de novembre 2023, la prochaine génération d’insights devrait être disponible dans PRÉVERSION, sous la forme de widgets d’enrichissement. Ces nouvelles informations peuvent intégrer des données provenant de sources externes et obtenir des mises à jour en temps réel. Elles peuvent en outre être vues en même temps que les aperçus existants. Pour profiter de ces nouveaux widgets, vous devez activer l'expérience de widgets.

Si vous examinez un incident à l'aide de la nouvelle expérience d'examen, vous pouvez accéder à une version en panneau de la page Entité sur la page Détails de l'incident. Vous disposez d’une liste de toutes les entités impliquées dans un incident donné, et, lorsque vous sélectionnez une entité, un panneau latéral s’ouvre ; il comporte trois « cartes » (Informations, Chronologie et Aperçus) qui affichent toutes les mêmes informations décrites ci-dessus, dans le délai d’exécution spécifique correspondant à celui des alertes de l’incident.

Si vous utilisez la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender, les panneaux de la chronologie et des insights s’affichent sous l’onglet Événements Sentinel de la page d’entité Defender.

La chronologie

La chronologie est une partie majeure de la contribution de la page d’entité à l’analyse du comportement dans Microsoft Sentinel. Elle présente l’historique des événements liés à l’entité, qui vous aide à comprendre l’activité de celle-ci dans un délai d’exécution spécifique.

Vous pouvez choisir le délai d’exécution parmi plusieurs options prédéfinies (par exemple, dernières 24 heures), ou définir un délai d’exécution personnalisé. En outre, vous pouvez définir des filtres qui limitent les informations de la chronologie à des types spécifiques d’événements ou d’alertes.

Les types d’éléments suivants sont inclus dans la chronologie.

  • Alertes : toute alerte dans laquelle l’entité est définie en tant qu’entité mappée. Notez que, si votre organisation a créé des alertes personnalisées utilisant des règles d’analyse, vous devez vous assurer que le mappage d’entité des règles est correctement effectué.

  • Signets : signets incluant l’entité affichée sur la page.

  • Anomalies : détections UEBA basées sur des références dynamiques créées pour chaque entité à partir de différentes entrées de données et par rapport à ses propres activités historiques, celles de ses pairs et celles de l’organisation dans son ensemble.

  • Activités : agrégation d’événements notables liés à l’entité. Un large éventail d’activités sont automatiquement collectées, et vous pouvez désormais personnaliser cette section en ajoutant les activités de votre choix.

Capture d’écran d’un exemple de chronologie de page d’entité dans le Portail Azure.

Insights sur les entités

Les insights d’entité sont des requêtes définie par les chercheurs en matière de sécurité de Microsoft pour aider vos analystes à investiguer plus efficacement. Les insights sont présentées dans la page de l’entité. Elles fournissent des informations de sécurité précieuses sur les hôtes et les utilisateurs, sous la forme de graphiques et de données tabulaires. Les informations étant disponibles ici, vous n’avez pas à passer par Log Analytics. Les insights contiennent des données relatives aux connexions, aux ajouts de groupes, aux événements anormaux, et ainsi de suite. Ils incluent également des algorithmes de Machine Learning avancés pour détecter les comportements anormaux.

Les insights reposent sur les sources de données suivantes :

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA Microsoft Sentinel)
  • Heartbeat (Azure Monitor Agent)
  • CommonSecurityLog (Microsoft Sentinel)

Généralement, chaque insight d’entité affiché sur la page d’entité est accompagné d’un lien qui vous redirige vers une page présentant la requête sous-jacente ainsi que les résultats associés, vous permettant ainsi d’examiner les résultats en profondeur.

  • Dans Microsoft Sentinel dans le Portail Azure, le lien vous redirige vers la page Journaux d’activité.
  • Dans la plateforme d’opérations de sécurité unifiées du portail Microsoft Defender, le lien vous redirige vers la page Repérage avancé.

Comment utiliser les pages d’entité

Les pages d’entité sont conçues pour faire partie de plusieurs scénarios d’usage. Elles sont accessibles à partir de la gestion des incidents, du graphe d’investigation, des signets ou directement à partir de la page de recherche d’entité sous Comportement des entités dans le menu principal de Microsoft Sentinel.

Schéma des zones à partir desquelles vous pouvez accéder aux pages d’entités, correspondant aux cas d’usage.

Les informations de la page d’entité sont stockées dans la table BehaviorAnalytics et décrites en détail dans la section Informations de référence sur UEBA Microsoft Sentinel.

Pages d’entités prises en charge

Microsoft Sentinel propose actuellement les pages d’entités suivantes :

  • Compte d’utilisateur

  • Host

  • Adresse IP (préversion)

    Notes

    La page d’entité Adresse IP (désormais en préversion) contient les données de géolocalisation fournies par le service Microsoft Threat Intelligence. Ce service combine les données de géolocalisation des solutions Microsoft et des fournisseurs et partenaires tiers. Les données sont ensuite disponibles à des fins d’analyse et d’investigation dans le contexte d’un incident de sécurité. Pour plus d’informations, consultez également Enrichir des entités dans Microsoft Sentinel avec des données de géolocalisation via l’API REST (préversion publique).

  • Ressource Azure (préversion)

  • Appareil IoT (Préversion) : uniquement dans Microsoft Sentinel dans le Portail Azure pour l’instant.

Étapes suivantes

Dans ce document, vous avez découvert comment obtenir des informations sur les entités de Microsoft Sentinel à l’aide de pages d’entités. Pour plus d’informations sur les entités et leur utilisation, consultez les articles suivants :