Mapper les champs d’incident Microsoft Azure Sentinel

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident SIR de sécurité afin de pouvoir créer des incidents avec les données mappées.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Sur la page de mappage, dans la section Mappage de champs Azure Sentinel, sélectionnez l’une des méthodes d’ingestion d’échantillons.
      Tableau 1. Méthodes d'intégration des exemples
      Champ Description
      Tous les champs d’incident et d’entité par défaut Utilisez cette méthode d’ingestion pour afficher la liste statique de tous les champs d’incidents et d’entité. Cette méthode contient uniquement des noms de champs par défaut sans valeurs.

      Vous pouvez utiliser ces informations pour les mapper avec les SIR champs.
      Récupérer les incidents Azure Sentinel récents Utilisez cette méthode d’ingestion pour importer les données d’entités et d’incidents les plus récentes.

      Si l’incident Azure Sentinel contient les données d’entité, celles-ci sont récupérées et disponibles pour le mappage dans la section Champs sources d’Azure Sentinel. Parfois, l’incident Azure Sentinel peut ne pas contenir les données de l’entité, et par conséquent les champs d’entité ne sont pas disponibles pour le mappage dans un tel scénario.

      Si l’incident Azure Sentinel contient plusieurs alertes, la première alerte qui fait partie de l’incident est affichée dans la section de mappage. Pendant l’ingestion également, les valeurs de champ d’alerte de sécurité les plus précoces sont utilisées.

      Vous pouvez ingérer 5 échantillons d’incidents par défaut et un maximum de 20 échantillons d’incidents.

      Les valeurs du champ d’incident d’échantillon sont renseignées lorsque le profil ingère les échantillons d’incidents. Vous pouvez mapper ces incidents aux champs cibles des incidents SIR. Les champs et valeurs d’incident apparaissent sous forme d’onglets individuels.
      Importer des exemples de données Cliquez sur Importer des données d’échantillon pour importer des échantillons d’incidents à partir d’Azure Sentinel.

      Ce bouton s’affiche lorsque vous sélectionnez la méthode d’ingestion Récupérer les incidents Azure Sentinel récents.

      La récupération d’échantillons d’incidents à partir du Microsoft Azure Sentinel serveur peut prendre un moment.

      Mappez ces incidents récupérés aux champs cibles de l’incident SIR. Les champs et valeurs d’incident apparaissent sous forme d’onglets individuels.
      Mappage de champs des incidents Azure Sentinel
    2. Pour ajouter des champs aux champs par défaut qui sont affichés sur l’incident de sécurité, procédez comme suit :
      1. Dans la section Champs cibles de l’incident SIR, cliquez sur le bouton Mapper un autre champ. Bouton Mapper un autre champ.
        Il affiche une liste de SIR champs, à partir de laquelle vous pouvez sélectionner un champ pour un nouveau champ à afficher.
      2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
        Remarque :
        Plusieurs observables peuvent être affichés sur le même incident de sécurité. Par exemple, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, un message d’erreur s’affiche indiquant que ce champ ne prend pas en charge plusieurs valeurs. De même, si un champ d’un incident de sécurité dispose d’une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affiché dans la liste, le champ ne se renseigne pas sur l’incident de sécurité.
      3. Dans la section Champs sources d’Azure Sentinel, faites glisser et déposez votre champ pour le mapper à votre nouveau champ.
      4. Lorsque vous cochez la case correspondant à un champ, tout changement nouveau ou mis à jour apporté dans Azure Sentinel met automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Remarque :
        Dans le système de base, la propriété système sn_sec_sentinel.incident_updates est par défaut définie sur Vrai pour recevoir les Microsoft Azure Sentinel mises à jour relatives aux nouvelles alertes liées à SIR.
        • Par défaut, les champs Utilisateurs affectés, Éléments de configuration et Observables sont cochés. Cela signifie que chaque fois que de nouveaux observables ou éléments de configuration associés, ou des utilisateurs affectés sont ajoutés à l’incident, ces informations sont automatiquement extraites et renseignées dans les listes connexes respectives de Security Incident Response (SIR) pendant cet intervalle d’interrogation.
        • Pour tous les autres champs, vous devez cocher la case correspondant à un champ pour tout changement nouveau ou mis à jour apporté à l’enregistrement d’incident Azure Sentinel dans Azure Sentinel. Cela mettra automatiquement à jour les données d’incident SIR respectives avec les nouvelles données d’incident.
        Important :
        Une diligence raisonnable est requise avant de sélectionner cette fonctionnalité, car le remplacement des données existantes peut entraîner une instabilité des données avec lesquelles l’analyste peut travailler et toute autre automatisation définie même par les valeurs de champ de l’incident de sécurité peut également être affectée. Il est donc très important de faire preuve de diligence raisonnable avant de sélectionner une fonctionnalité de remplacement.
    3. Pour supprimer un champ, utilisez le bouton Supprimer le bouton Supprimer l’élément en regard du champ expression d’entrée dans la section Champs cibles de l’incident SIR.
    4. Pour mapper une valeur de champ de la section Champs sources Azure Sentinel à un champ de la section Champs cibles d’incident SIR, utilisez l’une des actions suivantes :
      1. Faites glisser le nom du champ (par exemple, ID) et déposez-le en regard d’un nom de champ dans la colonne Champs cibles de l’incident SIR.

        Vous pouvez faire correspondre n’importe quelle valeur de la section Champs sources Azure Sentinel à un champ de la section Champs cibles d’incidents SIR. Les champs sont codés par couleur afin que vous ne négligez pas ou ne dupliquiez pas les champs d’incident dans le processus de mappage. Les champs bleu clair indiquent qu’un champ d’incident n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ d’incident entrant à plusieurs champs sur un incident de sécurité. Un champ gris indique qu’un champ a été sélectionné et mappé à un champ sur l’incident de sécurité. De cette façon, vous pouvez visualiser quelles valeurs de champ ont été ajoutées à l’incident de sécurité et si d’autres informations importantes sur l’incident restent non mappées.

      2. Vous pouvez ajouter une combinaison de texte et de champ.
        Par exemple, le nom de l’incident est ${name}$. Ici , le nom de l’incident peut être saisi manuellement tandis que ${name}$ est mappé à partir de la section des champs sources d’Azure Sentinel.
      3. Vous pouvez saisir et mapper manuellement un incident source ou un champ d’entité à un champ cible.
        • Pour mapper manuellement un champ d’incident source, utilisez le format ${field name}$. Par exemple, pour mapper la gravité d’un champ d’incident, le format est${properties(severity)}$.
        • Pour ajouter manuellement un champ d’entité source, utilisez le format ${entity name : entity field}$ . Par exemple, pour mapper un champ d’entité Description de l’entité Alerte de sécurité, le format est ${SecurityAlert : properties(description)}$.
      Cette intégration classe certains sous-types d’observables. Lorsque vous mappez un champ Azure Sentinel avec le champ observable SIR, l’observable Now Platform est automatiquement classifié. Si vous souhaitez mapper de façon générique l’observable Azure Sentinel entrant au type d’observable dans SIR, faites glisser et déplacez le champ Azure Sentinel dans le champ Observable. Toutefois, si vous connaissez le type d’observable pour l’observable Azure Sentinel entrant dans SIR, effectuez un mappage spécifique au champ Type d’observable SIR . Parmi les exemples de types d’observables spécifiques, citons Observable (nom de domaine), Observable (adresse e-mail), Observable (adresse IP (V4)) et Observable (nom d’hôte SIR ).

      Si vos champs Azure Sentinel entrants contiennent des MITRE-ATT&CK informations, mappez-les MITRE-ATT&CK au champ Technique. Assurez-vous que le champ Azure Sentinel entrant contient l’ID ou le nom de la MITRE-ATT&CK technique.

      Parfois, les valeurs de champ d’incident dans Microsoft Azure Sentinel peuvent ne pas se traduire directement dans les champs de l’incident de sécurité SIR. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez mettre en forme des valeurs similaires, mais pas identiques.

    5. Pour formater la traduction d’un champ d’un nouvel champ d’un incident Azure Sentinel afin qu’elle corresponde à une valeur de champ d’un incident de sécurité, cliquez sur le lien Cliquez ici dans l’en-tête des champs cibles de l’incident SIR .
    6. Pour modifier les champs qui prennent en charge la traduction des champs, cliquez sur l’icône Script de mise en forme des champs pour modifier les champs qui prennent en charge la traduction des champs.
      Les champs qui prennent en charge la traduction des champs sont Catégorie, Élément de configuration et Priorité. Par exemple, cliquez sur l’icône du bouton Format de champ à côté de la catégorie. L’éditeur de script de traduction de champ Azure Sentinel s’ouvre.
    7. Entrez les changements apportés au script et cliquez sur Mettre à jour pour enregistrer les changements et revenir à la page Mappage.
      Par exemple, pour Catégorie, définissez les éléments suivants dans l’éditeur de script :
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      Ce mappage garantit qu’un profil n’utilise que des catégories configurées.
    8. Poursuivez votre mappage en ajoutant ou en supprimant des valeurs de champ.
      Vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir les critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.
    9. Pour passer à la section Filtrage et agrégation, cliquez sur Continuer.

    Que faire ensuite

    Définissez et définissez des conditions de filtre afin de pouvoir spécifier quels incidents doivent créer des incidents de sécurité. Vous pouvez utiliser les mêmes valeurs de champ (définies dans la section Mappage) dans le générateur de conditions de génération d’incident (dans la section Filtrage et agrégation) pour définir les critères supplémentaires qu’un incident entrant doit satisfaire pour créer un incident de sécurité.