Mapper les champs d’incident Microsoft Azure Sentinel

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 7 minutes de lecture

    • Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident SIR de sécurité afin de pouvoir créer des incidents avec les données mappées.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Sur la page de mappage, dans la section Mappage de champ Azure Sentinel, sélectionnez l’une des méthodes d’ingestion d’échantillons.
      Tableau 1. Méthodes d'intégration des exemples
      Champ Description
      Tous les champs d’incident et d’entité par défaut Utilisez cette méthode d’ingestion pour afficher la liste statique de tous les incidents et champs d’entité. Cette méthode contient uniquement les noms de champs par défaut sans aucune valeur.

      Vous pouvez utiliser ces informations pour effectuer un mappage avec les SIR champs.
      Récupérer les incidents Azure Sentinel récents Utilisez cette méthode d’ingestion pour importer les incidents et les données d’entités les plus récents.

      Si l’incident Azure Sentinel contient les données d’entité, les données d’entité sont récupérées et sont disponibles pour le mappage dans la section Champs sources Azure Sentinel. Parfois, l’incident Azure Sentinel peut ne pas contenir les données d’entité, et par conséquent les champs d’entité ne sont pas disponibles pour le mappage dans un tel scénario.

      Si l’incident Azure Sentinel contient plusieurs alertes, la première alerte qui fait partie de l’incident est affichée dans la section de mappage. Lors de l’ingestion également, les valeurs de champ d’alerte de sécurité les plus précoces seront utilisées.

      Vous pouvez ingérer 5 exemples d’incidents par défaut et un maximum de 20 échantillons d’incidents.

      Les valeurs de champ d’exemple d’incident sont renseignées lorsque le profil ingère les exemples d’incidents. Vous pouvez mapper ces incidents aux champs cibles des incidents SIR. Les champs et valeurs d’incident apparaissent sous forme d’onglets individuels.
      Importer des exemples de données Cliquez sur Importer des données d’échantillon pour importer des échantillons d’incidents à partir d’Azure Sentinel.

      Ce bouton s’affiche lorsque vous sélectionnez la méthode d’ingestion Récupérer les incidents Azure Sentinel récents.

      La récupération des échantillons d’incidents à partir du Microsoft Azure Sentinel serveur peut prendre un certain temps.

      Mappez ces incidents récupérés aux champs cibles des incidents SIR. Les champs et valeurs d’incident apparaissent sous forme d’onglets individuels.
      Mappage de champs des incidents Azure Sentinel
    2. Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité, procédez comme suit :
      1. Dans la section Champs cibles de l’incident SIR, cliquez sur le bouton Mapper un autre champ. Bouton Mapper un autre champ.
        Il affiche une liste de SIR champs, à partir de laquelle vous pouvez sélectionner un champ pour afficher un nouveau champ.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
        Remarque :
        Plusieurs observables peuvent être affichés sur le même incident de sécurité. Par exemple, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, un message d’erreur indique que ce champ ne prend pas en charge plusieurs valeurs. De même, si un champ d’un incident de sécurité dispose d’une liste à partir de laquelle vous pouvez choisir plusieurs options et que vous essayez de mapper une option à ce champ qui n’est pas affiché sur la liste, le champ ne sera pas renseigné sur l’incident de sécurité.
      3. Dans la section Champs sources Azure Sentinel, glissez-déplacez votre champ pour le mapper à votre nouveau champ.
      4. Lorsque vous cochez la case qui correspond à un champ, toute modification nouvelle ou mise à jour apportée dans Azure Sentinel met automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Remarque :
        Dans le système de base, la propriété système sn_sec_sentinel.incident_updates est définie par défaut sur Vrai pour recevoir les Microsoft Azure Sentinel mises à jour associées aux nouvelles alertes liées à SIR.
        • Par défaut, les champs Utilisateurs affectés, Éléments de configuration et Observables sont cochés. Cela signifie que chaque fois que de nouveaux observables, de nouveaux éléments de configuration associés ou des utilisateurs affectés sont ajoutés à l’incident, ces informations sont automatiquement extraites et renseignées dans les listes connexes respectives de Security Incident Response (SIR) pendant cet intervalle d’interrogation.
        • Pour tous les autres champs, vous devez cocher la case qui correspond à un champ pour toute modification nouvelle ou mise à jour apportée à l’enregistrement d’incident Azure Sentinel dans Azure Sentinel. Cela mettra automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Important :
        Vous devez faire preuve de diligence raisonnable avant de sélectionner cette fonctionnalité, car le remplacement des données existantes peut entraîner une instabilité des données avec lesquelles l’analyste peut travailler, et toute autre automatisation définie même par les valeurs de champ de l’incident de sécurité peut également être affectée. Il est donc très important de faire preuve de diligence raisonnable avant de sélectionner une fonctionnalité de remplacement.
    3. Pour supprimer un champ, utilisez le bouton Supprimer l’élément en regard du champ d’expression d’entrée dans la section Champs cibles de l’incident SIR.
    4. Pour mapper une valeur de champ de la section Champs sources Azure Sentinel à un champ de la section Champs cibles de l’incident SIR, procédez de l’une des façons suivantes :
      1. Faites glisser le nom du champ (par exemple, ID) et déposez-le à côté d’un nom de champ dans la colonne Champs cibles de l’incident SIR.

        Vous pouvez faire correspondre n’importe quelle valeur de la section Champs sources Azure Sentinel à un champ de la section Champs cibles de l’incident SIR. Les champs sont codés par couleur afin que vous n’oubliiez pas ou ne dupliquiez pas les champs d’incident dans le processus de mappage. Les champs bleu clair indiquent qu’un champ d’incident n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférerez peut-être associer un champ d’incident entrant à plusieurs champs d’un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. De cette façon, vous pouvez visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si d’autres informations importantes sur l’incident restent non mappées.

      2. Vous pouvez ajouter une combinaison de texte et de champ.
        Par exemple, le nom de l’incident est ${name}$. Ici , le nom de l’incident peut être saisi manuellement tandis que ${name}$ est mappé à partir de la section Champs sources d’Azure Sentinel.
      3. Vous pouvez saisir et mapper manuellement un incident source ou un champ d’entité à un champ cible.
        • Pour mapper manuellement un champ d’incident source, utilisez le format ${field name}$. Par exemple, pour mapper la gravité d’un champ d’incident, le format est${properties(severity)}$.
        • Pour ajouter manuellement un champ d’entité source, utilisez le format ${entity name : entity field}$ . Par exemple, pour mapper un champ d’entité Description de l’alerte de sécurité de l’entité, le format est ${SecurityAlert : properties(description)}$.
      Cette intégration classifie certains sous-types d’observables. Lorsque vous mappez un champ Azure Sentinel au champ observable SIR, la Now Platform classification automatique de l’observable est effectuée. Si vous souhaitez mapper de manière générique l’observable Azure Sentinel entrant au type d’observable dans SIR, faites glisser et déplacez le champ Azure Sentinel dans le champ Observable. Toutefois, si vous connaissez le type d’observable pour l’observable Azure Sentinel entrant dans SIR, effectuez un mappage spécifique au champ Type d’observable SIR . Certains exemples de types d’observables spécifiques incluent SIR Observable (nom de domaine), Observable (adresse e-mail), Observable (adresse IP (V4)) et Observable (nom d’hôte).

      Si vos champs Azure Sentinel entrants contiennent des MITRE-ATT&CK informations, mappez-les MITRE-ATT&CK au champ Technique. Assurez-vous que le champ Azure Sentinel entrant contient l’ID ou le nom de la MITRE-ATT&CK technique.

      Il peut arriver que les valeurs de champ d’incident dans Microsoft Azure Sentinel ne soient pas directement traduites dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques.

    5. Pour formater la traduction d’un nouveau champ à partir d’un incident Azure Sentinel afin qu’elle corresponde à une valeur de champ d’un incident de sécurité, cliquez sur le lien Cliquez ici dans l’en-tête Champs cibles de l’incident SIR .
    6. Pour modifier les champs qui prennent en charge la traduction des champs, cliquez sur l’icône Format de champ du script du bouton Format de champ.
      Les champs qui prennent en charge la traduction des champs sont Catégorie, Élément de configuration et Priorité. Par exemple, cliquez sur l’icône du bouton Format de champ à côté de la catégorie. L’éditeur de script Azure Sentinel Field Translation s’ouvre.
    7. Saisissez toutes les modifications apportées au script et cliquez sur Mettre à jour pour enregistrer les modifications et revenir à la page Mappage.
      Par exemple, pour Catégorie, définissez les éléments suivants dans l’éditeur de script :
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      Ce mappage garantit qu’un profil utilise uniquement les catégories configurées.
    8. Poursuivez votre mappage en ajoutant ou en supprimant des valeurs de champ.
      Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.
    9. Pour accéder à la section Filtrage et agrégation, cliquez sur Continuer.

    Que faire ensuite

    Définissez et définissez des conditions de filtre afin de pouvoir spécifier quels incidents doivent créer des incidents de sécurité. Vous pouvez utiliser les mêmes valeurs de champ (définies dans la section Mappage) dans le générateur de conditions de génération d’incident (dans la section Filtrage et agrégation) pour définir des critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.