Définition de critères de filtre et d’agrégation

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Vous pouvez définir et paramétrer des conditions de filtre afin de pouvoir spécifier les incidents entrants Microsoft Azure Sentinel devant créer des incidents de sécurité. Vous pouvez également définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant à un incident de sécurité ouvert au lieu de créer un incident.

    Définir les conditions de filtrage pour les incidents de sécurité

    Définissez les conditions de filtrage afin que les incidents de sécurité ne soient créés que lorsque les conditions de filtrage correspondent.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ce type de filtrage vous permet d’isoler les incidents de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seuls les incidents requis sont ingérés sans qu’il soit nécessaire de modifier la requête ou la configuration de l’incident déclenché.

    Procédure

    1. Pour définir les critères qu’un incident entrant doit satisfaire pour qu’un incident de Microsoft Azure Sentinel sécurité soit créé, sélectionnez Filtrer en fonction des conditions.

      Les options du premier champ des Conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillon d’incident Azure Sentinel pour l’incident que vous avez ingéré. Ces champs sont dynamiques et changent en fonction de l’incident que vous ingérez. Les critères que vous saisissez sont sensibles à la casse. Vérifiez que les critères que vous définissez correspondent aux valeurs de l’incident.

      Utilisez la condition de filtre contenue pour les champs suivants à valeurs multiples :
      • properties(labels)
      • properties(additionalData(alertProductNames))
      • properties(relatedAnalyticRuleIds)
      • properties(additionalData(tactics))

      Étant donné que la condition de filtre ne peut récupérer que des chaînes, vous devez utiliser la condition de filtre contient pour les champs ci-dessus afin de vous assurer que les données sont filtrées correctement.

      Figure 1. Conditions de génération d’incidents de sécurité
      Générateur de conditions de filtre.
    2. À l’aide des listes et des champs du créateur de conditions, définissez les filtres de la première ligne.
    3. Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être remplies.
      • Si OU est sélectionné, l’une ou l’autre condition peut être mise en correspondance.
    4. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

    Définir les conditions d’agrégation

    Définissez des critères d’agrégation d’incidents supplémentaires qui regroupent un incident entrant en un incident de sécurité SIR existant au lieu de créer des incidents similaires et potentiellement dupliqués. Lorsque vous utilisez des critères de valeur de correspondance de champ pour chaque profil, cette agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’incident associés sur un seul incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Si un nouvel incident correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation lors de l’étape de mappage, l’incident est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst et travaillant sur des incidents de sécurité, vous pouvez afficher tous les incidents agrégés ajoutés dans une liste connexe d’un incident de sécurité.

    Tous les incidents regroupés sur un incident de sécurité sont affichés dans la liste connexe Incidents agrégés d’Azure Sentinel. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi les incidents sont ajoutés aux incidents de sécurité existants.

    Procédure

    1. Pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un incident entrant Microsoft Azure Sentinel à un incident de sécurité ouvert au lieu de créer un nouvel incident, sélectionnez l’option Conditions d’agrégation comme illustré dans la figure suivante.
      Figure 2. Conditions d'agrégation
      Agrégation pour définir des critères de filtrage d’incidents supplémentaires.
    2. Dans le champ Champs d’incident avec des valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que les critères d’agrégation soient satisfaits et que l’incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition AND dans laquelle des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, y sont mappés. Si seul un sous-ensemble de valeurs est mis en correspondance, les conditions d’agrégation d’incidents Azure Sentinel ne sont pas remplies et un nouvel incident de sécurité est créé.
    3. Pour ajouter plusieurs conditions de correspondance de champ, cliquez sur Ajouter un nouveau critère
      L’agrégation se produit si l’une des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OR .
    4. Pour mettre à jour la note de travail pour un nouvel incident lorsqu’elle est ajoutée à un incident de sécurité, sélectionnez Enregistrer la note de travail pour le nouvel incident.

      La note de travail consigne l’ajout d’un nouvel incident et inclut un lien vers les détails de l’incident. La note de travail du journal met également à jour les détails que vous ajoutez au champ Note de travail dans votre section de mappage.

    5. Pour configurer le calendrier, cliquez sur Continuer.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données d’incident et les incidents ingérés qui correspondent aux critères du profil.